hakin9 07.2010 pl
TRANSCRIPT
-
8/8/2019 hakin9 07.2010 PL
1/50
-
8/8/2019 hakin9 07.2010 PL
2/50
http://www.podyplomowe.byd.pl/http://www.cei.wsg.byd.pl/ -
8/8/2019 hakin9 07.2010 PL
3/50Strony rekomendowane
Strony rekomendowane
www.i - s l owni k . pl
www.h
c s l . pl
www. an
t y n e t . pl
ww
w. c c n s . pl
www. o s d
ev . pl
www. o
c h r on
ai nf or m
a c j i . pl
www. t o
p s e c . pl
www.h
a c k m e. pl
www.h
ak er z y .n
e t
www.m
gi b k i .w
or d
pr
e s s . c om
-
8/8/2019 hakin9 07.2010 PL
4/504
SPIS TRECI
NARZEDZIA6 Obudowa MIDI ATX iBOX Piano 33937 StrongRecovery
POCZTKI8 Dysk twardy budowa i dziaanie
Artur SkroubaNiniejszy artyku jest oglnym zarysem budowy i dziaania dzisiejszych dyskw twardych. W kilku sowach przybli-a nam te problematyk, w jaki sposb obchodzi si z naszym HDD, aby jego ywotno bya jak najdusza.
OBRONA14 ScapyMicha Sajdak Czy istnieje atwy sposb na wygenerowanie niemal dowolnych pakietw? Czy mona bez wikszych trudnocizmodyfikowa przechwycony pakiet i wysa go ponownie? Czy nieskomplikowanym zadaniem jest przygotowa-nie fuzzera protokou sieciowego?
OCHRONA DANYCH25 Archiwizacja danych
Aleksander Tadeusz wikliski Niewielu uytkownikw komputerw przywizuje naleyt wag do archiwizacji plikw. Czsto gin im bezpowrot-nie bezcenne dokumenty lub zdjcia, a niewiele trzeba, by temu zapobiec.
PRAKTYKA30 ELEKTRONICZNI DETEKTYWI W AKCJIPawe Odor, Piotr Dembiski Wiedza i umiejtnoci informatykw ledczych, take z Polski, pomogy ju rozwiza tysice spraw sdowychna caym wiecie, w tym tych najpowaniejszych, zwizanych midzy innymi z gonymi przestpstwami gospo-darczymi, pedofili bd kradzie poufnych danych. Wci jednak dziaania prowadzone w ramach informatykiledczej s niemale obce nie tylko firmom traccym przychody przez oszustw komputerowych, ale nawet samejbrany IT.
7/2010 (61)
4 7/2010
-
8/8/2019 hakin9 07.2010 PL
5/50www.hakin9.org 5
Miesicznik hakin9 (12 numerw w roku) jest wydawany przez Software Press Sp. z o.o. SK
Redaktor naczelny: Katarzyna Dbek [email protected]
Projekt okadki: Agnieszka Marchocka
Skad i amanie: Tomasz Kostro www.studiopoligraficzne.com
Kierownik produkcji: Andrzej Kuca [email protected]
Adres korespondencyjny:Software Press Sp. z o.o. SK,
ul. Bokserska 1, 02-682 Warszawa, Polskatel. +48 22 427 36 91, fax +48 22 224 24 59
www.sdjournal.org [email protected]
5
BEZPIECZNA FIRMA36 Endpoint SecurityPawe migielski Zdecydowana wikszo firm zabezpiecza swoje sieci i komputery przed atakami z zewntrz, stosuje antywirusy,firewalle i systemy wykrywania wama. Jednoczenie zapominamy o zagroeniach ze strony swoich wasnychpracownikw. W artykule poznamy rne rozwizania chronice przed wyciekiem i utrat danych ze stacji robo-
czych.
WYWIAD45 Na pytania odpowiada Pawe Odor, gwny specjalista Kroll Ontrack w Polsce
FELIETON48 CyberwojnaPatryk Krawaczyski
HAKIN9 7/2010
SPIS TRECI
Dzia reklamy: [email protected]
Redakcja dokada wszelkich stara, by publikowane w pimiei na towarzyszcych mu nonikach informacje i programy byy
poprawne, jednake nie bierze odpowiedzialnoci za efektywykorzystania ich; nie gwarantuje take poprawnego dziaania
programw shareware, freeware i public domain.
Wszystkie znaki firmowe zawarte w pimie s wasnociodpowiednich firm.
Zostay uyte wycznie w celach informacyjnych.
Osoby zainteresowane wspprac prosimy o kontakt:[email protected]
-
8/8/2019 hakin9 07.2010 PL
6/507/20106
NARZDZIA
Obudowa Midi ATX iBOX Piano 3393 nie wy-rnia si niczym specjalnym pod wzgldem
konstrukcyjnym, aczkolwiek posiada cieka-wy i futurystyczny design. Tak jak opisuje producent
jest drapiena i dosy adnie dobrana kolorystycznie,czarny i niebieski naprawd ciekawie razem wygldaj.Koszt obudowy ksztatuje si w granicach 115-160 z.Dane techniczne:
wymiary (wysoko 412mm / szeroko 185mm /gboko 403mm),
ilo zatok 5,25: 4 szt., ilo zatok 3,5: 7szt. (5 wewntrznych/ 2 zewntrzne),
wentylatory: 120 mm podwietlany niebiesk diod LED z przodu + miejsce na 80mm wentylator z tyuobudowy,
obudowa nie posiadaa zasilacza w zestawie, wyprowadzone wyjcia na zewntrz: 2xUSB, wej-
cie i wyjcie audio.
Najciekawszym elementem tej obudowy jest wywie-tlacz (model wywietlacza MY320-1LCD) poczonyz kontrolerem pracy wentylatorw chodzcych zamon-towanych wewntrz w zalenoci od aktualnej tempera-tury pracy caego komputera. Ponadto wywietlacz tenmoe wskazywa: aktualn godzin, czas pracy kom-putera od momentu wczenia (maksymalny czas to 99godzin i 59 minut), aktualny status pracy dysku (kiedysygnalizowane to byo za pomoc pojedynczej diody).
Mnie osobicie najbardziej interesowa fakt montau.Obudow t wykorzystaem przy skadaniu mojego naj-nowszego nabytku. Zestaw, ktry sobie zoyem (bezwdawania si w konkretne modele): pyta gwna ATX,karta graficzna z chipsetem ATI HD 5770, 2 dyski twar-de SATA, nagrywarka Blue Ray, zasilacz o mocy 600W,2 moduy po 2GB RAM.
Boki obudowy mona cign bez uywania narz-dzi jednak ju w rodku, nie ma mowy o montau beznarzdzi, trzeba uy rubokrta. Fakt ten jednak niedziwi, jeeli spojrzymy na przedzia cenowy obudw narynku i raczej jest to standardem.
Zasilacz i pyt gwn zamontowaem bez problemu,ale to nie powinno dziwi, a raczej powinno by norm,
jednak ta obudowa okazaa si by bardzo maa i cia-sna.
Niestety z 5 wewntrznych zatok 3,5 mog skorzy-sta z maksymalnie 3 zatok. Oczywicie mao kto mon-tuje wicej ni 2 dyski w swoim komputerze, ale jee-li znajdzie si kto taki to zdecydowanie to odradzam,w moim przypadku karta graficzna blokuje 2 miejsca nadyski. Wielko tej obudowy sprawia rwnie problemprzy podczania kabelkw SATA do dyskw twardychi adnego ich schowania.
Niestety to nie koniec wad tej konstrukcji, na obudo-
wie (po tym jak si cignie folie ochronne) bardzo a-two zostaj odciski palcw, a boki i caa konstrukcja do-sy atwo si wygina, zaznacz jednak, e to dotyczywielu obudw w tym przedziale.
Reasumujc, obudowa prezentuje si elegancko i po-siada dosy ciekawy modu wywietlacza LCD. Podczasmontau mocniejszych zestaww komputerowych mog wystpi problemy z montaem zbyt duych i zbyt duejiloci elementw, niestety w takim wypadku trzeba z wy-duonym czasem przeznaczonym na skadanie swoje-go upragnionego PC-ta. I jeszcze jedna uwaga, nie prze-stawiajcie jej za czsto, a jak ju to musicie zrobi to naj-lepiej uyjcie kawaka materiau, aby pniej nie byo po-trzeby usuwa ladw waszej interwencji.
Obudowa
MIDI ATX iBOXPiano 3393OCENA
ProducentiBOXTypObudowaStrona producentawww.ibox.pl RecenzentAndrzej Kuca
-
8/8/2019 hakin9 07.2010 PL
7/50
Narzdzia
www.hakin9.org 7
surowe) obsuguje wikszo popularnych forma-tw plikw BMP, JPG, MP3, DOC, ZIP, RAR, EXE itp.
Na pewno mocn stron programu jest prosty i przej-rzysty interfejs, odzyskiwanie plikw nie bdzie w tymprzypadku trudne nawet dla pocztkujcego uyt-kownika. Po uruchomieniu wybieramy partycj, ktr chcemy skanowa w celu odnalezienia plikw do po-tencjalnego odzyskania. Odzyskiwanie plikw moe-my zawzi do danego rodzaju plikw (np. tylko MP3lub video). Skanowanie jest wzgldnie szybkie, a do-datkow zalet jest moliwo zapisania sesji skano-wania i pniejszego powrotu do niej. Oprogramowa-nie jednak przeznaczone jest dla mao wymagajcych
uytkownikw. Odzyskanie zdj z karty pamici, do-kumentu z pendriva jest proste, atwe i przyjemne.Problemy zaczynaj si przy bardziej skomplikowa-nych operacjach program potrafi pracowa jedyniez dyskami logicznymi, co to znaczy? Nie masz party-cji, nie ma odzyskiwania. Profesjonalne programy po-trafi pracowa na dyskach fizycznych, a nie tylko lo-gicznych. Brak take moliwoci skanowania oraz od-zyskiwania plikw poprzez sie znacznie obnia funk-cjonalno programu.
Kolejn bolczk niepozwalajc zaklasyfikowago do profesjonalnych narzdzi jest brak moliwocipracy na obrazie dysku. Praca na obrazie dysku po-zwala mie pewno, i nie nadpiszemy adnych da-nych i nie bdziemy ingerowa w jego struktur. Mato kapitalne znaczenie np. dla informatyki ledczej, je-eli celem odzyskania danych jest nie tylko fizyczneotrzymanie pliku, ale take potwierdzenie jego obec-noci na badanym noniku. Bardziej wymagajcychuytkownikw zniechci take brak edytora heksade-cymalnego. Moe razi brak opcji wyboru jzyka, ma-o kiedy spotyka si oprogramowanie polskie, a in-terfejs dostpny jest tylko w jzyku angielskim. Sko-ro oprogramowanie przeznaczone jest dla mniej za-awansowanych uytkownikw, to w moim przekona-niu powinna by take polska wersja jzykowa wrazz instrukcj.
Nie ma chyba bardziej wraliwej czci syste-mu komputerowego ni dane. Kady sprzt,
kady system jestemy w stanie szybko pod-mieni, zastpi itd., z danymi natomiast rzecz masi inaczej. W centrach danych, na serwerach firmo-wych i przy komputerach strategicznych, administrato-rzy zdaj sobie spraw co znaczy odzyskiwanie danychoraz jak ryzykowny i skomplikowany jest to proces, dla-tego te stosowane s rnego rodzaje zabezpieczeniaprzed utrat danych.
Wypadaoby tu wymieni przede wszystkim: ko-pie bezpieczestwa, obrazy systemu, mirroring syste-mu, rnego typu metody zarzdzania dyskami (RA-
ID-y), jednake nie w kadym przypadku s to rozwi-zania skuteczne lub moliwe do zastosowania. Meto-dy te chroni gwnie przed awariami systemw, co jed-nak jeeli nie jest moliwe zastosowanie adnej z po-wyszych? W obecnym czasie wykorzystuje si rno-rakie noniki danych karty SD, pendrivy, dyski przeno-ne, czy chociaby dyski na urzdzeniach przenonychniemajce w kadej chwili moliwoci wykonania kopiibezpieczestwa nie zawsze mamy moliwo odpo-wiedniego zabezpieczenia danych.
Co wic zrobi, eby odzyska utracone ju dane?W zasadzie istniej dwie moliwoci uzalenione odwanoci danych i stopnia zdeterminowania do ich od-zyskania. Odzyskiwanie we wasnym zakresie za po-moc dedykowanego oprogramowania albo skorzysta-nie z profesjonalnej firmy do odzyskiwania danych (np.Ontrack, Mediarecovery). Na jakie zagroenia s nara-one noniki danych? Wyrniamy dwa rodzaje uszko-dze: logiczne i fizyczne. Fizyczne, pomijajc uszko-dzone noniki przenone (pyty CD, DVD) s raczej niedo odzyskania bez specjalistycznego laboratorium. Na-tomiast uszkodzenia logiczne czsto udaje si rozwi-za za pomoc oprogramowania dedykowanego. Jed-nym z komercyjnych rozwiza takiego oprogramowa-nia jest program strongrecovery sprbujmy si muprzyjrze bliej.
Aplikacja pozwala na odzyskiwanie formatw plikwtakich jak FAT12, FAT16, FAT32, NTFS i RAW (tzw.
Odzyskiwanie
danychOCENA
ProducentStrongRecoveryTypProgram narzdziowyStrona producentawww.strongrecovery.comRecenzentTomasz Zarychta
-
8/8/2019 hakin9 07.2010 PL
8/507/20108
POCZTKI
Dla wikszoci z nas twardy dysk jest po prostu
zamknitym pudekiem, w ktrym znajduj sinasze dane. Niestety bardzo czsto brak pod-stawowej wiedzy o jego konstrukcji oraz niewaciweobchodzenie si z nim doprowadza nas do bezpowrot-nej utraty zawartych na min danych. Dlaczego nie wol-no otwiera twardego dysku? Jak dziaa twardy dysk?Dlaczego naley obchodzi si z nim jak z przysowio-wym jajkiem ? Dlaczego naley sprawdza temperaturHDD i dba, aby nie by zakurzony? Na te i na wiele in-nych pyta postaramy si odpowiedzie.
Rola twardego dyskuDzisiejsze dyski twarde znacznie rni si od pierwszychrozwiza pamici maszyn przetwarzajcych dane.
Powstae w pierwszej poowie XIX wieku karty, a na-stpnie tamy dziurkowane suyy do obsugi prostychmaszyn (np. w fabrykach produkcyjnych) wg zakodo-wanych na nich bardzo prostych sekwencji. Dopieropod koniec pierwszej poowy XX wieku, wraz z powsta-niem podwalin elektronicznych maszyn liczcych (opar-tych jeszcze o technologi lampow i elektromagnetycz-ne przekaniki) zaczto szuka innych rozwiza umo-liwiajcych bardziej efektywne magazynowanie i prze-twarzanie coraz wikszej iloci danych. W konsekwencji,prawdziwy przeom przynis dopiero rozwj techniki p-przewodnikowej wkrtce potem zaczto konstruowapierwsze rozwizania, wykorzystujce ferromagnetycz-ne waciwoci niektrych stopw metali. Jednym z ta-
kich rozwiza byy bbny magnetyczne (pami bbno-
wa). Rwnoczenie bardzo szybko zaczto uywa po-wszechnie stosowane magnetyczne tamy magnetofo-nowe oraz konstruowa pierwsze twarde dyski.
Dzisiejszy twardy dysk peni jedn z najwaniejszychfunkcji w komputerach osobistych. Przechowywane s nanim wszystkie dane uytkowe i konfiguracyjne systemuoperacyjnego. Jest take jednym z podstawowych noni-kw pamici masowych umoliwiajcych przechowywa-nie, edycj i zapis danych operacyjnych uytkownika.
Budowa twardego dyskuDysk twardy (ang. Hard Disk Drive HDD) jest urzdze-niem pamici nieulotnej (staej), ktra przechowuje da-ne zakodowane cyfrowo na szybko obracajcych si ta-lerzach (ang. platers ). Talerze s sztywne (std w angiel-skiej nazwie sowo hard ) do ich produkcji wykorzystujesi materia niemagnetyczny szko lub aluminium. Nanich napylony jest ptwardy ferromagnetyk, ktry umo-liwia sformowanie stabilnych domen magnetycznychi przechowywanie w nich kierunkowo namagnesowa-nych dipoli magnetycznych. W pierwszych dyskach jakoferromagnetyku uywano trjtlenku elaza; w latach p-niejszych zosta on zastpiony przez stop kobaltu.
Caa mechanika jest zamknita w szczelnej obudo-wie, posiadajcej filtrowane otwory wentylacyjne, kt-re odprowadzaj cz ciepa oraz wyrwnuj cinieniewewntrz dysku. Dyski s zamykane w warunkach ste-rylnych; nawet odrobina kurzu bdcego w powietrzu
Dysk twardy budowa
i dziaanieNiniejszy artyku jest oglnym zarysem budowy i dziaaniadzisiejszych dyskw twardych. W kilku sowach przyblianam te problematyk, w jaki sposb obchodzi siz naszym HDD, aby jego ywotno bya jak najdusza.
Artur Skrouba
Dowiesz si: jak rol peni dysk twardy, jak jest zbudowany dzisiejszy HDD, zarys dziaania twardego dysku, jakie s mocne i sabe strony HDD, jak naley postpowa aby maksymalnie zwikszy ywot-
no HDD.
Powiniene wiedzie: mie oglne pojcie o funkcjonowaniu i budowie komputera
osobistego.
-
8/8/2019 hakin9 07.2010 PL
9/50
Budowa i ywotno HDD
www.hakin9.org 9
Powysze wymagania doprowadziy do minimalizacjiposzczeglnych elementw mechaniki twardych dys-kw. Dotyczy to w szczeglnoci ich wagi i rozmiarw.
Nowoczesne dyski posiadaj domeny mniejsze ni 10 nm(0,000001 mm) wymaga to ogromnej precyzji oraz mak-symalnie maej masy ramienia pozycjonera umoliwiajcejbyskawiczne ruchy nad obszarem roboczym platerw.
Ponadto, w wikszoci dzisiejszych dyskw na po-zycjonerze zamontowany jest rnicowy przedwzmac-niacz sygnau (ang. preamplifier , potocznie: preamp ),umoliwiajcy dostarczenie stabilnego sygnau do mo-duu elektroniki zewntrznej (Rysunek 1).
Modu elektroniki zewntrznej zamontowany jest nazewntrz dysku. W duym uproszczeniu jest to mikro-komputer obsugujcy w peni (od wprowadzenia stan-dardu ATA wprowadzono integracj kontrolera) wszyst-
kie operacje wykonywane przez twardy dysk. Skadasi z kilku podstawowych blokw (Rysunek 2).
To co najbardziej odrnia dyski midzy sob to inter-face sygnaowy oraz prdko obrotowa.
W chwili obecnej dominuj dwa standardy (wrazz ich pochodnymi):
word serial interfaces rodzaj interface pracuj-cego w sposb rwnolegy najbardziej znanestandardy to IDE (ATA), EIDE oraz SCSI,
atmosferycznym byskawicznie doprowadzi do degra-dacji samego nonika podczas jego pracy.
Talerze s osadzone na piacie oyska silnika nap-dzajcego twardy dysk. W dzisiejszych konstrukcjachstosuje si od 1 do 4 talerzy (bardzo rzadko wicej).
Wiksza ilo talerzy (spotykana czciej w latach80 i 90 ubiegego stulecia) zwikszaa ryzyko awariiposzczeglnych gowic.
Kluczowym elementem mechaniki kadego dysku jest ruchome rami (pozycjoner), na kocach ktregozamontowane s szczotki gowic. Skada si on z ob-rotowego oyska osiowego (na ktrym jest zamonto-wany), ramienia (umoliwiajcego prac gowic nadoraz pod kadym z talerzy) oraz elektromechanicz-nego serwomechanizmu magnetycznego, umoliwia-
jcego dokadne i szybkie pozycjonowanie gowic nad
zadanym obszarem talerzy.Sama konstrukcja pozycjonera jest bardzo precyzyjna
i delikatna. Spowodowane jest to dwoma czynnikami:
coraz wikszymi wymogami dotyczcymi precy-zji pozycjonowania (ze wzgldu na coraz wikszeupakowanie danych na platerach),
coraz wikszymi wymogami szybkoci reakcji me-chaniki (np. czas dostpu do pofragmentowanychblokw danych).
Rysunek 1. A - talerz dysku (plater); B - piasta silnika dysku; C - gowica dysku; D - rami pozycjonera dysku; E - serwomechanizm dysku; F -o pozycjonera dysku; G - przedwzmacniacz sygnau; H - ltr wentylacyjny
-
8/8/2019 hakin9 07.2010 PL
10/507/201010
POCZTKI
modern bit serial interfaces rodzaj interface pra-cujcego w sposb szeregowy. Interfejs w przeci-wiestwie do swojego poprzednika przesya da-ne szeregowo. W porwnaniu z poprzednikiem nie
jest to naraz kilkadziesit sygnaw, tyko jeden ale za to nieporwnywalnie szybciej. Najbardziejznane standardy to FC, SATA czy SAS.
Prdko obrotowa dzisiejszych twardych dyskw mie-ci si w przedziale od 4.200 do 15.000 obrotw na mi-nut (ang. Revolutions Per Minute RPM). Prdkociz niszego przedziau stosowane byy w starszych mo-delach oraz w dyskach stosowanych do urzdze prze-nonych. Natomiast prdkoci od 7.200 wzwy stosowa-ne s w nowoczesnych dyskach oraz wydajnych rozwi-zaniach serwerowych bd workstation (SAS, SCSI).
Jak dziaa dysk twardyW momencie kiedy wczymy komputer w pierwszejkolejnoci prac zaczyna procesor sygnaowy dys-ku. Odczytuje on procedury zawarte w biosie dysku,ktre uruchamiaj silnik HDD. Po osigniciu zaoo-nej prdkoci obrotowej platerw uruchomiony zosta-
je serwomechanizm pozycjonera, ktry przesuwa jegorami nad obszar talerza zawierajcy mikrooprogramo-wanie wewntrzne samego nonika. Obszar ten nazy-wa si stref serwisow dysku (ang. Service Area , po-
tocznie : SA).
Osignicie minimalnej prdkoci jest niezbdnedo wytworzenia si pod kocwkami pozycjonera (tuprzed szczotkami gowic) tzw. poduszki powietrznej,ktra unoszc lekko gowice nie dopuszcza do ich fi-zycznego kontaktu z wirujcym platerem.
W nastpnej kolejnoci gowice odczytuj zamiesz-czone w SA fabryczne moduy wsadowe zawierajcetakie informacje jak nazwa dysku, nr seryjny, fizycznytranslator dysku (stworzony w oparciu o fabryczn li-st zawierajcych bdy sektorw) oraz adaptywne pa-rametry pracy gowic.
Po poprawnym odczycie struktur serwisowych dyskzgasza komunikat status ready w tym momencie zo-staje on wywietlony w biosie komputera i jest gotowydo pracy moe odczytywa i zapisywa dane.
Wikszo dzisiejszych dyskw posiada gowice
magneto-rezystywne odczyt stanu logicznego po-szczeglnych domen magnetycznych polega na zmia-nie rezystancji gowicy odczytujcej w zalenoci odpolaryzacji zawartych w nich dipoli.
Sam zapis dokonuje si poprzez zmian nateniapola magnetycznego (generowanego przez gowic)
w dyskach twardych gowica magnesuje ferromagne-tyk, a do penego nasycenia (zmiana kierunku nama-gnesowania dipoli), wykorzystujc waciwoci histere-zy magnetycznej. Po namagnesowaniu domeny i usu-niciu pola magnesujcego ptwardy ferromagnetyk
pozostaje stabilnie namagnesowany.
Rysunek 2. A - procesora sygnaowego - jednostki zarzdzajcej prac caego nonika; B - pamici ROM - zawierajcej oprogramowanie proceduralne; C - interface sygnaowego - np. ATA, SATA; D - pamici podrcznej RAM - buforujcej zapis i odczyt; E - moduu zasilania oraz kontroli pracy silnika; F - bloku sterujcego serwomechanizmem pozycjonera
-
8/8/2019 hakin9 07.2010 PL
11/50
Budowa i ywotno HDD
www.hakin9.org 11
Mocne strony HDDNajwaniejsz zalet dzisiejszych twardych dyskw
jest ich pojemno. Wci trwaj badania nad ich roz-wojem we wszystkich liczcych si laboratoriach nawiecie. Tak due upakowanie danych jest moliwemidzy innymi dziki wci rozwijajcym si technolo-giom badawczym.
Jednym z ostatnich takich przykadw jest zastoso-wanie tzw. zapisu prostopadego, ktry umoliwia du-o wiksze upakowanie danych (domeny magnetycznenie s uoone pasko na noniku tylko s skierowanew gb warstwy paramagnetycznej) oraz wiksz szyb-ko dziaania dysku. Zastosowanie tej technologii teo-retycznie umoliwia upakowanie danych w iloci ok. 1TB na cal kwadratowy. Oznacza to, e wg dzisiejszychstandardw budowy dyskw 3,5 calowych (4 platery,
osiem powierzchni roboczych) moliwe bdzie konstru-owanie dyskw o pojemnoci ok. 300 TB.
Kolejn wan cech dzisiejszych twardych dys-kw jest ich cena i dostpno. Dzisiejszym standar-dem jest dysk. ok. 500 GB co przy cenie ok. 200 PLN-
jest najbardziej korzystn ofert na rynku pamici ma-sowych w przeliczeniu PLN za 1 GB.
Naley wspomnie te o mobilnoci i zadowalajcejprdkoci nowoczesnych HDD. Wystpuj one w r-nych rozmiarach zewntrznych poczwszy od 0,8 ca-la i koczc na dyskach 3,5 calowych. Umoliwia to sto-
sowanie ich do nawet bardzo maych urzdze (typu te-lefony, kamery czy aparaty) oraz stosowanie jako pami-ci przenone.
Sabe strony HDDNiewtpliwie do najsabszych stron dyskw twardych na-ley ich niska odporno na awari. Ze wzgldu na swo-
j konstrukcj naraone s one w sposb szczeglny nawszelkiego rodzaju czynniki udarowe (uderzenia, puk-nicia, upadki).
Kolejnym czynnikiem, ktry ma destrukcyjny wpyw naich ywotno jest wysoka temperatura, ktra powstajew czasie pracy nonika. Moe ona doprowadzi do fi-zycznej degradacji samego nonika i w konsekwencji donieodwracalnego zniszczenia zawartych na nim danych.
Zwikszenie ywotnoci HDDW 1992 r. firma IBM po raz pierwszy zastosowaaw swoim twardym dysku (SCSI) pierwowzr systemu,ktry pozwala monitorowa prac nonika. Implemen-tacja ta z biegiem czasu ewoluowaa i doprowadziado powstania standardu S.M.A.R.T. (ang. Self-Monito-ring, Analysis and Reporting Technology ), ktry penirol swojego rodzaju systemu wczesnego ostrzegania przed moliwoci wystpienia awarii.
W wielu przypadkach monitorowanie na bieco pa-rametrw S.M.A.R.T. umoliwia nam kontrol takichparametrw pracy dysku jak:
temperatura, pojawianie si nieresponsywnych sektorw (ang.
bad sectors ), ilo wcze i wycze dysku, czny czas pracy dysku.
Prawidowe reagowanie na ew. nieprawidowoci (np.S.M.A.R.T. wykazuje za wysok temperatur pracydysku) pozwoli nam w znaczny sposb wyduy y-wotno naszego nonika.
Niestety naley pamita, e powyszy system ofe-ruje tylko biern kontrol dziaajcego nonika; nieuchroni on nas przed konsekwencjami wystpienianagej awarii spowodowanej innymi czynnikami.
Dlatego te naley przestrzega kilku zasad, ktre po-zwol zminimalizowa szanse awarii twardego dysku:
w komputerach stacjonarnych naley regularniekontrolowa czysto; gruba warstwa kurzu nadysku potra bardzo szybko doprowadzi do deka-libracji termicznej dysku,
jeeli to moliwe zamontujmy w komputerze wen-tylator skierowany na dysk, bdzie on skuteczniezmniejsza temperatur podczas pracy dysku i jed-noczenie spowalnia proces osadzania si kurzu,
komputer stacjonarny nie powinien sta pod biur-kiem w pobliu naszych ng; nawet lekkie uderze-
nia (szczeglnie podczas jego pracy) mog byzabjcze dla naszego HDD, komputer nie powinien by umiejscowiony w pobli-
u rde ciepa, np. kaloryfera, jeeli mamy komputer umiejscowiony na biurku
(stacjonarny, bd przenony), nie wolno nam ude-rza w jego blat (szczeglnie podczas pracy dysk
jest naraony na dekalibracj mechaniczn), naley pamita, aby nie pozostawia na duszy
czas pracujcego komputera (oczywicie z wyjt-kiem sytuacji, gdzie jestemy do tego zmuszeni),
komputery przenone (np. laptopy) maj mao wy-dajny system wentylacyjny; dlatego te absolutnienie wolno wykonywa na nich duszych prac (po-wyej kilkunastu minut) w warunkach, w ktrychmoe doprowadzi to do przegrzania dysku. Przy-kadem moe tu by praca na mikkim podou, ta-kim jak koc, bd pociel w takich warunkachskuteczno systemu odprowadzania ciepa spadaniemal do kilkunastu procent,
dyski zewntrzne s duo mocniej naraone naczynniki udarowe lub termiczne; dotyczy to w szcze-glnoci dyskw 3.5 calowych (wg statystyk ok. po-owy z nich ulega awarii do ok. roku czasu !) dlate-go powinny by one traktowane w sposb wyjtkowoostrony. Optymalnymi warunkami pracy takich dys-kw jest znalezienie dla nich bezpiecznego miejscana biurku i bez zwisajcych na wierzchu przewodw,
-
8/8/2019 hakin9 07.2010 PL
12/507/201012
POCZTKI
wybierajmy zawsze zewntrzne dyski, ktre le,a nie stoj (dotyczy 3.5 calowych) dyski stojceczsto ulegaj przewrceniu,
nie przesuwajmy i nie podnomy dysku zewntrznego(podczas pracy jest to szczeglnie niebezpieczne),
ograniczmy do maksimum przypadki przenoszeniadysku,
dyski 2.5 calowe s w sposb szczeglny narao-ne na nawet delikatne nacinicia w takich sytu-acjach czsto dochodzi do nieprawidowego zatrzy-mania (zarycia si) gowic na wirujcym platerze,
przed kadym przenoszeniem dysku naley pomy-le o ich stosownym zabezpieczeniu nie naleyprzenosi luzem dysku bez adnego zabezpieczenia
w razie przypadkowego upadku szansa na utratdostpu do danych wynosi sporo ponad 90%,
wystpowanie anomalii napiciowych jest istn zmor, jeeli chodzi o uszkodzenia elektroniki dys-kw twardych. W tego typu sytuacjach elementemnajbardziej zawodnym jest zasilacz komputera dlatego zwrmy uwag na jego jako.
Przestrzeganie powyszych i wielu innych, podstawo-wych zasad pozwoli nam wydajnie zwikszy ywot-no naszych dyskw i zminimalizowa do minimumryzyko wystpienia awarii.
W tym miejscu naley jednak stwierdzi, e metody
bierne nie zmniejszaj szans wystpienia utraty danychz przyczyn logicznych (skasowanie danych, format,itp.). Tutaj jedyn metod jest systematyczno w okre-sowym wykonywaniu kopii zapasowych. Jest to jedynapewna metoda zabezpieczenia przed utrat danych.
PodsumowanieMamy nadziej, e przedstawiony powyej zarys budowy,dziaania i warunkw pracy twardego dysku pozwoli Czy-telnikowi w bardzo oglnym pojciu przybliy specyfikurzdzenia jakim jest dysk twardy. Wbrew pozorom jest tobardzo skomplikowane urzdzenie wymagajce szcze-glnej starannoci obchodzenia si z nim, nawet w czasiecodziennej pracy. W przypadku awarii samodzielne prby
jego naprawy, bd odzyskania danych wi si ogrom-nym ryzykiem zwizanym z koniecznoci posiadania du-ej wiedzy i specjalistycznego laboratorium.
Niestety, w ostatnim okresie na polskim rynku pojawiasi bardzo wiele firm oferujcych tak usug, jednak jej ja-ko pozostawia wiele do yczenia. W caej tej masie firm
jest tylko kilka, ktre dysponuj stosown wiedz i warsz-tatem pozwalajcym odzyska dane we wszystkich mo-liwych przypadkach (tzn. tam gdzie fizycznie jest to moli-we). Dlatego kady, kto zechce skorzysta z takiej usugi,powinien bardzo starannie dokonywa wyboru firmy, bdosoby, ktrej chcemy powierzy swoje noniki w celu od-zyskania danych. Kuriozalne jest to, e na rynku monaspotka coraz wicej firm lub osb reklamujcych si jako
jednostki wyspecjalizowane w odzyskiwaniu danych, jed-noczenie nie majcych gruntownej wiedzy oraz warszta-tu pozwalajcego na skuteczne wykonanie takiej usugi.I tak, np. wiatowy redni poziom skutecznoci odzyski-wania danych wynosi ok. 76% na 100 zgoszonych przy-padkw (rdo: Wikipedia). Jest to spowodowane tym, isytuacje takie jak nadpisanie utraconych danych, bd fi-zyczne uszkodzenie powierzchni roboczej nonikw nienale do wyjtkw. Niestety, coraz czciej mona spo-tka reklamy, ktre delikatnie mwic nacigaj rzeczy-wisto. Coraz wicej firm ogasza si jako ta najlepsza ,przelicytowujc si w skutecznoci: 95% czy nawet 99%!Mao tego: na rynku pojawiaj si reklamy sugerujce bli-sko 100% skuteczno (!) w odzyskiwaniu danych czy temwice o gwarancji na odzyskanie danych. Jest to oma-mianie zdesperowanego klienta i wiadome wprowadza-
nie go w bd (powinien si temu przyjrze UOKIK). Niema bowiem na wiecie firmy potraficej odzyskiwa danez kadego przypadku ich utraty. Czsto dziaania te maj na celu tylko zapanie klienta w celu wycignicia od niegopienidzy za usug sprawdzenia, bd analizy czy si dadane odzyska, a na kocu stwierdzenia Niestety nie uda-o si, ale si napracowaem, wic kliencie zapa! .
Jeszcze wiksz patologi jest funkcjonowanie tzw. bez- patnej analizy, ktra jest warunkowa. Z grubsza rzecz bio-rc, polega to na tym, e coraz wicej firm oferuje bezpat-n analiz nonika pod warunkiem, e po jej przeprowa-
dzeniu klient skorzysta w danej firmie z usugi odzyskaniadanych. W przypadku rezygnacji, klient musi pokry kosztyprzeprowadzonej analizy oraz inne ukryte opaty w przy-padku dyskw twardych mog to by kwoty do kilkuset zo-tych. I nie byoby w tym nic zego, gdyby nie fakt, e takapraktyka przyczynia si do rozpowszechnienia si pewne-go procederu, a mianowicie: coraz czciej nieuczciwe fir-my po wykonaniu analizy decyduj si na stosowanie cenzaporowych, np. 12 tysicy zotych za odzyskanie danychz jednego dysku. Jak atwo przewidzie w efekcie klientrezygnuje i z tego tytuu niestety musi zapaci za wykona-n analiz. Mao tego niektre firmy dodatkowo daj take opaty za wydanie dysku (nonika) poniewa wy-konay dodatkow prac wykraczajc poza standardo-w analiz wstpn W tej sytuacji waciciel sprztu mazwizane rce, poniewa wczeniej, w momencie przyj-cia dysku do analizy podpisa stosowne zobowizanie bezdokadnego zapoznania si z nim. Faktycznie przy takichpraktykach teoretyczna skuteczno moe osiga pra-wie 100% i jeszcze gwarantuje przypyw gotwki w ka-dym moliwym przypadku. Prowadzc tak firm, rwniedobrze mona by nic nie robi oprcz wystawiania fak-tur. Wystarczy mie dobry PR, profesjonalnie wygldajc stron WWW czy reprezentacyjn siedzib.
Dlatego pamitajmy przed wyborem firmy odzyskuj-cej dane powinnimy gruntownie przeanalizowa jej rze-telno. Ufajmy tylko sprawdzonym firmom, mogcym sipochwali wieloletni praktyk powiadczon certyfikata-
-
8/8/2019 hakin9 07.2010 PL
13/50
Budowa i ywotno HDD
www.hakin9.org 13
mi i nagrodami (takimi jak medale, nagrody konsumenc-kie, powiadczenia dla rzetelnych firm). Take przed od-daniem (lub wysaniem) nonika naley zapozna siz warunkami, ktre bdziemy musieli pisemnie zaakcep-towa (dokadnie czytajmy druki zamwie i regulaminy).
W trakcie rozmowy wstpnej sprawdmy, czy bezpatnaanaliza jest faktycznie bezwarunkowa oraz domagajmysi podania wideek cenowych (chodzi o cen maksymal-n!) za konkretny rodzaj potencjalnego moliwego uszko-dzenia, tak aby unikn przykrych niespodzianek.
ARTUR SKROUBA Autor studiowa na wydziale Fizyki i Astronomii UniwersytetuWarszawskiego; jest take absolwentem Szkoy Gwnej Han-dlowej w Warszawie na kierunku Finanse i Bankowo. Na codzie zajmuje si profesjonalnym odzyskiwaniem danych w r-mie DataMax Recovery, w ktrej peni funkcj jednego z iny-nierw technicznych. Jest take jej zaoycielem Firma Data-Max Recovery Kontakt z autorem: [email protected].
UwagaZarwno autor, jak i redakcja, nie ponosz adnej odpowie-dzialnoci za jakiekolwiek szkody i straty powstae w wynikustosowanie si do wskazwek w niniejszym artykule. W mo-mencie utraty dostpu do danych nie zaleca si samodziel-nego wykonywania jakichkolwiek dziaa, w wyniku ktrychmoe doj do zagroenia zdrowia bd ycia lub wystpie-nia znacznych strat.
Reklama
http://www.procertiv.pl/http://www.procertiv.pl/http://www.procertiv.pl/ -
8/8/2019 hakin9 07.2010 PL
14/507/201014
OBRONA
Na wszystkie powysze pytania moemy odpo-
wiedzie: tak majc do dyspozycji darmoweoprogramowanie scapy. Jedn moliwoci ofe-rowanych przez to narzdzie jest generowanie pakie-tw przy czym, w odrnieniu od innych znanych ge-neratorw pakietw (takich jak: sendip, nemesis, netdu-de, czy hping), scapy:
posiada bardzo du baz obsugiwanych protoko-w,
jest prosty i szybki w obsudze, zapewnia uytkownikowi wysok elastyczno pod-
czas korzystania z oferowanej przez siebie funkcjo-nalnoci,
jest aktywnie rozwijany, oferuje bardzo szerokie moliwoci skryptowania, zapewnia relatywnie proste moliwoci implemen-
tacji obsugi zupenie nowego rodzaju pakietwi protokow (wymagana jest przy tym jednak zna-
jomo jzyka python).
Sam autor narzdzia twierdzi, e jest ono w staniezastpi takie aplikacje jak: hping, 85% funkcjonal-noci nmap-a, arpspoof, arp-sk, arping, tcpdump, te-thereal czy p0f. Nie bdziemy polemizowa z tymtwierdzeniem zaprezentujemy za to praktyczneprzykady wykorzystania scapy, niech one same b-d komentarzem do moliwoci tego oprogramowa-nia.
ls() wywietlenie obsugiwanych pakietw
Scapy w wersji 2.1.0 obsuguje przeszo 300 rodza- jw pakietw, przy czym pakiet rozumiemy tutaj bardzooglnie jako pewien odpowiednio sformatowany zbir danych, ktry moe by przesyany przez sie (stosow-ne formatowanie okrela odpowiedni protok siecio-wy). Na Listingu 1 prezentujemy niewielki fragment li-sty pakietw zaimplementowanych w scapy, przy czymdostpne s dodatkowe pluginy uzupeniajce t list(przykad protok OSPF).
ls() wywietlenie szczegw budowypakietuPrzed utworzeniem pakietu w scapy warto zapoznasi z jego struktur (Listing 2).
W pierwszej kolumnie podawana jest nazwa kadegopola, w drugiej jego typ, a w trzeciej warto domyl-na przy tworzeniu nowego pakietu.
Tworzenie nowego pakietuW scapy jest to prosta operacja:
>>> p = ICMP()
Wywietlenie szczegw pakietuW przykadzie z Listingu 3 jako domylny typ ICMP zostaustawiony echo-request (znany z popularnego ping-a).Jeli przy budowie pakietu chcielibymy poda inny typ,moemy zrobi to w sposb przedstawiony na Listingu 4.
Generator Pakietw Scapy
Czy istnieje atwy sposb na wygenerowanie niemaldowolnych pakietw? Czy mona bez wikszych trudnocizmodyfikowa przechwycony pakiet i wysa go ponownie?Czy nieskomplikowanym zadaniem jest przygotowaniefuzzera protokou sieciowego?
Micha Sajdak
Dowiesz si: jak posugiwa si oprogramowaniem scapy, jak generowa (niemal) dowolny ruch sieciowy, jak wykona fuzzing protokou sieciowego.
Powiniene wiedzie: powiniene zna podstawowe protokoy wykorzystywane
w sieci Internet, powiniene zna dowolny jzyk programowania.
-
8/8/2019 hakin9 07.2010 PL
15/50
Scapy
www.hakin9.org 15
Wygenerowanie grupy pakietwSprbujmy tym razem wygenerowa nie jeden pakiet
a ca ich grup, mianowicie 19 pakietw ICMP o polutype, przyjmujcym wartoci od 0 do 18 (pozostae po-la przyjm wartoci domylne ustalone w scapy). Tymrazem skorzystamy z funkcji sr() (jej nazwa to skrtod send-receive ), wysyajcej w warstwie 3. Funkcjata zwraca dwie wartoci: pakiety z wysyanego zbioru,ktre doczekay si odpowiedzi oraz te, na ktre odpo-wied nie przysza patrz Listing 12.
Proste skanowanie portwWykorzystujc wiedz z powyszego przykadu, wy-konajmy prosty skaner portw (Listing 13). W naszymprzypadku bdzie to wysanie 4 pakietw TCP z usta-wion flag Syn, na cztery rne porty.
W ptli powyej przegldamy ca zwrcon tabli-c o nazwie a. Kady element tej tablicy posiada dwakolejne elementy pakiet wysany oraz otrzymana naniego odpowied (w ptli odpowiadaj tym elementomzmienne req oraz resp ). Jeli odpowied jest pakietemTCP z flag SA, oznacza to e badany port jest otwarty(otrzymalimy segment TCP z flagami SA w odpowiedzina segment z flag S).
Podsuchiwanie ruchu oraz modyfikacjakomunikacji sieciowej
Aby podsucha ruch, moemy skorzysta z wbudowa-nej w scapy funkcji sniff() , moemy rwnie wczytazbir pakietw w formacie libpcap funkcja rdpcap() .
Na Listingu 14 zauwamy, e przechwycony przeznas pakiet IP zawiera pocztkowo poprawn sum kon-troln, jednak po zmianie docelowego adresu IP, sumakontrolna bdzie bdna! Dlatego, aby wysa pakietbez bdw, poprosilimy scapy o automatyczne wyge-nerowanie prawidowej sumy za nas, podstawiajc jejwarto na pust:
i[IP].chksum=None
Odczytanie podsuchanych pakietw ze zrzutu w for-macie libpcap jest rwnie proste (Listing 15.)
Przy okazji warto rwnie wspomnie o funkcjiwrpcap() zapisujcej pakiety w formacie libpcap. Ta-ka moliwo moe okaza si przydatna, jeli chcie-libymy wybrane pakiety podda obrbce lub analiziew innym, zewntrznym narzdziu. Dalej (Listing 16)prezentujemy przykad sfragmentowania komunikacjiIP, z wykorzystaniem narzdzia tcprewrite , ktre po-siada wkompilowan obsug mechanizmu fragroute.
Fuzzing protokow sieciowychW skrcie, fuzzing protokow sieciowych, polega nawygenerowaniu pakietw niekoniecznie zgodnych zespecyfikacj protokou oraz sprawdzeniu w jaki sposb
W przykadzie na Listingu 4 skorzystalimy z poda-nia typu bezporednio lub za porednictwem mnemoni-ka. Mnemoniki dla pl typu enum moemy wywietli zapomoc skadni: pakiet.nazwa_pola.i2s
czenie pakietwJak wiemy, peen prawidowy pakiet ICMP, skada siz kilku warstw: ramka (na potrzebny artykuu nazywamy
j pakietem ) warstwy drugiej modelu OSI, pakiet IP orazpakiet ICMP. Zmy dwa pakiety IP oraz wczeniejstworzony ICMP (Listing 4, Listing 5). Ramka etherne-towa zostanie dodana pniej ju przez scapy.
Zauwamy, e wszystkie pola zostay wypenionezgodnie z wartociami domylnymi (polecenie ls(typ_pakietu) ) a dodatkowo pole IP.proto zostao wypenio-ne poprawnie tj. pakiet protokou IP w powyszym pa-
kiecie transportuje pakiet protoku ICMP. Zwrmy rw-nie uwag na pola chksum przyjy one warto None .W tym przypadku oznacza to, e sumy kontrolne zosta-n wyliczone na podstawie tego jak zbudujemy pakiet a wykona to za nas scapy. Aktualn sum kontroln mo-na zobaczy wykorzystujc metod show2 (Listing 6).
Przy okazji wspomnijmy, e dostpne w danej kla-sie zmienne i metody moemy uzyska poleceniem dir(wynik tego polecania, widoczny na Listingu 7, zostaskrcony w celu uatwienia prezentacji wynikw).
Z kolei pomoc dotyczc interesujcej nas metody
moemy uzyska poleceniem help() Listing 8.
Modyfikacja zawartoci pakietuAby zmodyfikowa pole w interesujcej nas warstwie,stosujemy notacj: pakiet[warstwa].pole = warto .Na przykad:
p1[IP].dst = '192.168.0.1'
Wysanie pakietu oraz odebranie odpowiedziIstnieje kilka funkcji wysyajcych oraz odbierajcychpakiety mona je pozna wydajc polecenie lsc() oraz help (nazwa_funkcji). W przykadzie poniej wy-korzystamy funkcj sr1() , ktra wysya pakiety w war-stwie 3 modelu OSI (tj. ramka warstwy drugiej zostanieza nas uzupeniona) oraz odbiera pierwszy pakiet odpo-wiedzi (Listing 9).
Zauwamy, e nie musielimy uzupenia pakietuo ramk ethernetow, t prac wykonaa za nas funk-cja sr1() . Jeli chcielibymy jednak kontrolowa danerwnie w warstwie 2, musielibymy skorzysta z funk-cji srp1() oraz uzupeni pakiet o ramk Ethernet. Przyzaoeniu, e w zmiennej i zdefiniowany mamy pakietIP()/ICMP(), dooenie ramki ethernetowej wyglda tak
jak na Listingu 10.Dla dalszego zobrazowania moliwoci oferowanych
przez scapy, prezentujemy wynik wspomnianego wyejpolecenia lsc() widoczny na Listingu 11.
-
8/8/2019 hakin9 07.2010 PL
16/507/201016
OBRONA
na tak komunikacj zareaguje docelowy system. Przy-kadowo, niepoprawnym pakietem moe by pakiet IPz ustalon nietypow wartoci w polu IP.version . Cz-sto w ten sposb wykryta moe by bdna obsuga da-nego pakietu przez docelowy system, co niekiedy ko-czy si jego kompromitacj (patrz np. prac Wifi Advan-ced Fuzzing @ Blackhat EU 07, pokazujc podatno-ci umoliwiajce wykonanie wrogiego kodu na bez-przewodowym punkcie dostpowym z uprawnieniami
jdra systemu operacyjnego potencjalnie nawet bezkoniecznoci uwierzytelnienia si w urzdzeniu accesspoint!). Najprostsza posta realizacji fuzzingu w scapywyglda tak jak na Listingu 17.
Odpowiadajcy takiej komunikacji, zrzut wykonanyprzy pomocy tcpdump-a wyglda z kolei tak jak na Li-stingu 18.
Analogicznie do przykadu pokazanego na Listingu18, istnieje moliwo rcznego podstawienia danegopola, nie wartoci, a funkcj, zwracajc warto loso-w (Listing 19).
Prosty program w pythonieJako ilustracj do moliwoci skryptowania z wykorzy-staniem scapy, przedstawiamy szkic bardzo prostegoskanera portw napisanego w pythonie. Komentarzemdo skryptu niech bdzie sam kod rdowy, jak na Li-stingu 20.
PodsumowanieDociekliwych Czytelnikw zachcamy do wasnegoeksperymentowania z oprogramowaniem scapy. Mamynadziej, e pokazalimy moc tego narzdzia, ktregorozmaite zastosowania s ograniczone niemal tylko po-mysowoci uytkownika.
Listing 1. Typy pakietw dostpne w scapy
securitum-t1:~# scapy
Welcome to Scapy (2.1.0)
>>> ls()
ARP : ARP
ASN1_Packet : None
BOOTP : BOOTP
CookedLinux : cooked linux
DHCP : DHCP options
DHCP6 : DHCPv6 Generic Message)
...
DNS : DNS
DNSQR : DNS Question Record
DNSRR : DNS Resource Record
DUID_EN : DUID - Assigned by Vendor Based onEnterprise Number
Dot11 : 802.11
Dot11ATIM : 802.11 ATIM
Dot11AssoReq : 802.11 Association Request
Dot11AssoResp : 802.11 Association Response
...
Dot1Q : 802.1Q
Dot3 : 802.3
EAP : EAP
EAPOL : EAPOL
Ether : EthernetGPRS : GPRSdummy
GRE : GRE
...
IP : IP
IPOption : None
IPOption_Address_Extension : IP Option Address
Extension
...
PPP : PPP Link Layer
PPP_ECP : None
PPP_ECP_Option : PPP ECP Option
PPP_ECP_Option_OUI : PPP ECP Option
...
RIP : RIP header
RIPEntry : RIP entry
RTP : RTP
RadioTap : RadioTap dummy
Radius : Radius
Raw : Raw
RouterAlert : Router Alert
STP : Spanning Tree Protocol
SebekHead : Sebek header
TCP : TCP
TCPerror : TCP in ICMP
TFTP : TFTP opcode
...
MICHA SAJDAKDyrektor ds. Rozwoju w rmie Securi-tum. Prowadzi szkolenia o tematyce zwizanej z bezpieczestwem IT oraz realizuje testy penetracyjne systemw IT. Posiadacz certykatu CISSP.Kontakt z autorem:[email protected]
W Sieci
http://www.secdev.org/projects/scapy/ , http://www.dirk-loss.de/scapy-doc/ , http://trac.secdev.org/scapy/wiki/OSPF , http://freshmeat.net/projects/sendip/ , http://nemesis.sourceforge.net/ , http://netdude.sourceforge.net/ , http://www.hping.org/ , http://www.blackhat.com/presentations/bh-europe-07/
Butti/Presentation/bh-eu-07-Butti.pdf .
-
8/8/2019 hakin9 07.2010 PL
17/50
Scapy
www.hakin9.org 17
Listing 2. Struktura pakietu w scapy
>>> ls(ICMP)
type : ByteEnumField = (8)
code : MultiEnumField = (0)
chksum : XShortField = (None)
id : ConditionalField = (0)
seq : ConditionalField = (0)
ts_ori : ConditionalField = (50705671)
ts_rx : ConditionalField = (50705671)
ts_tx : ConditionalField = (50705671)
gw : ConditionalField = ('0.0.0.0')
ptr : ConditionalField = (0)
reserved : ConditionalField = (0)
addr_mask : ConditionalField = ('0.0.0.0')
unused : ConditionalField = (0)
Listing 3. Wywietlenie zawartoci pakietu
>>> p.show()
###[ ICMP ]###
type= echo-request
code= 0
chksum= None
id= 0x0
seq= 0x0
Listing 4. Stworzenie pakietu ICMP
>>> p = ICMP(type=0)
>>> ICMP.type.i2s
{0: 'echo-reply', 3: 'dest-unreach', 4: 'source-
quench',
5: 'redirect', 8: 'echo-request', 9: 'router-
advertisement',
10: 'router-solicitation', 11: 'time-exceeded',
12: 'parameter-problem', 13: 'timestamp-request',
14: 'timestamp-reply', 15: 'information-request',
16: 'information-response', 17: 'address-mask-
request',
18: 'address-mask-reply'}
>>> p = ICMP(type='information-request')
Listing 5. czenie pakietw
>>> p1 = IP()/p
>>> p1.show()
###[ IP ]###
version= 4
ihl= None
tos= 0x0
len= None
id= 1
ags=
frag= 0
ttl= 64
proto= icmp
chksum= None
src= 127.0.0.1
dst= 127.0.0.1\options\
###[ ICMP ]###
type= echo-request
code= 0
chksum= None
id= 0x0
seq= 0x0
Listing 6. Wynik metody show2()
>>> i.show2()
###[ IP ]###
version= 4L
...
chksum= 0x7cde
...
\options\
###[ ICMP ]###
...
chksum= 0xf7ff
>>>
Listing 7. Wywietlenie zmiennych i metod dostpnych w danej klasie
>>> dir(p)
['__class__', '__contains__', '__delattr__', '__
delitem__', '__dict__', [...]
'add_payload', 'add_underlayer', 'aliastypes',
'answers', 'build', [...]
'show', 'show2', 'show_indent', 'sprintf',
'summary', 'time', [...]
-
8/8/2019 hakin9 07.2010 PL
18/507/201018
OBRONA
Listing 8. Wywietlenie pomocy dla wybranej metody
>>>
help(p.show2)
Help on method show2 in module scapy.packet:
show2(self) method of scapy.layers.inet.ICMP instance
Prints a hierarchical view of an assembled version of the packet,
so that automatic elds are calculated (checksums, etc.)
Listing 9. Podstawowa metoda wysania pakietu oraz odebrania odpowiedzi sr1()
>>> r = sr1(p1)
Begin emission:
Finished to send 1 packets..*
Received 2 packets, got 1 answers, remaining 0
packets
>>> r.show()
###[ IP ]###
version= 4L
ihl= 5L
tos= 0x0
len= 28
id= 30733ags=
frag= 0L
ttl= 64
proto= icmp
chksum= 0x8106
src= 192.168.0.1
dst= 192.168.0.124
\options\
###[ ICMP ]###
type= echo-reply
code= 0
chksum= 0xffff
id= 0x0
seq= 0x0
###[ Padding ]###
load= '\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00\x00\x00\x00\x00\x00\x00\
x00'
Listing 10. Podstawowa metoda wysania pakietu oraz odebrania odpowiedzi - srp1()
>>> i2 = Ether(dst='00:19:5b:dc:b7:ec')/i
>>> i2.show()
###[ Ethernet ]###dst= 00:19:5b:dc:b7:ec
src= 00:0c:29:7f:48:3f
type= 0x800
###[ IP ]###
version= 4
ihl= None
tos= 0x0
len= None
id= 1
ags=
frag= 0ttl= 64
proto= icmp
chksum= None
src= 192.168.0.124
dst= 192.168.0.1
\options\
###[ ICMP ]###
type= echo-request
code= 0
chksum= None
id= 0x0
seq= 0x0
>>> r2 = srp1(i2)
Begin emission:
Finished to send 1 packets.
*
Received 1 packets, got 1 answers, remaining 0
packets
-
8/8/2019 hakin9 07.2010 PL
19/50
Scapy
www.hakin9.org 19
Listing 11. Wynik polecenia lsc()
arpcachepoison: Poison target's cache with (your MAC,victim's IP) couple
arping : Send ARP who-has requests to determine which hosts are up
defrag : defrag(plist) -> ([not fragmented], [defragmented],
defragment : defrag(plist) -> plist defragmented as much as possible
dyndns_del : Send a DNS delete message to a nameserver for "name"
etherleak : Exploit Etherleak aw
fragment : Fragment a big IP datagram
fuzz : Transform a layer into a fuzzy layer by replacing some
default values by random objects
getmacbyip : Return MAC address corresponding to a given IP address
hexdiff : Show differences between 2 binary strings
ls : List available layers, or infos on a given layer
rdpcap : Read a pcap le and return a packet list
send : Send packets at layer 3
sendp : Send packets at layer 2sendpfast : Send packets at layer 2 using tcpreplay for performance
sniff : Sniff packets
split_layers : Split 2 layers previously bound
sr : Send and receive packets at layer 3
sr1 : Send packets at layer 3 and return only the rst answer
sr ood : Flood and receive packets at layer 3
srloop : Send a packet at layer 3 in loop and print
the answer each time
srp : Send and receive packets at layer 2
srp1 : Send and receive packets at layer 2 and return only
the rst answersrp ood : Flood and receive packets at layer 2
srploop : Send a packet at layer 2 in loop and print the answer
each time
traceroute : Instant TCP traceroute
tshark : Sniff packets and print them calling pkt.show(),
a bit like text wireshark
wireshark : Run wireshark on a list of packets
wrpcap : Write a list of packets to a pcap le
Listing 12. Generowanie grupy pakietw
>>> pi = IP(dst='192.168.0.1')/ICMP(type=(0,18))
>>> answered,uanswered = sr(pi)
Begin emission:
...*.Finished to send 19 packets.
.......^C
Received 12 packets, got 1 answers, remaining 18 packets
>>> answered.show()
0000 IP / ICMP 192.168.0.124 > 192.168.0.1 echo-request 0
==> IP / ICMP 192.168.0.1 > 192.168.0.124 echo-reply 0 / Padding
>>> uanswered.show()
0000 IP / ICMP 192.168.0.124 > 192.168.0.1 dest-unreach network-unreachable
0001 IP / ICMP 192.168.0.124 > 192.168.0.1 source-quench 0
0002 IP / ICMP 192.168.0.124 > 192.168.0.1 redirect network-redirect
0003 IP / ICMP 192.168.0.124 > 192.168.0.1 time-exceeded ttl-zero-during-transit
0004 IP / ICMP 192.168.0.124 > 192.168.0.1 parameter-problem ip-header-bad
0005 IP / ICMP 192.168.0.124 > 192.168.0.1 1 0
-
8/8/2019 hakin9 07.2010 PL
20/507/201020
OBRONA
0006 IP / ICMP 192.168.0.124 > 192.168.0.1 2 0
0007 IP / ICMP 192.168.0.124 > 192.168.0.1 6 0
0008 IP / ICMP 192.168.0.124 > 192.168.0.1 7 0
0009 IP / ICMP 192.168.0.124 > 192.168.0.1 router-advertisement 0
0010 IP / ICMP 192.168.0.124 > 192.168.0.1 router-solicitation 0
0011 IP / ICMP 192.168.0.124 > 192.168.0.1 echo-reply 0
0012 IP / ICMP 192.168.0.124 > 192.168.0.1 timestamp-request 0
0013 IP / ICMP 192.168.0.124 > 192.168.0.1 timestamp-reply 0
0014 IP / ICMP 192.168.0.124 > 192.168.0.1 information-request 0
0015 IP / ICMP 192.168.0.124 > 192.168.0.1 information-response 0
0016 IP / ICMP 192.168.0.124 > 192.168.0.1 address-mask-request 0
0017 IP / ICMP 192.168.0.124 > 192.168.0.1 address-mask-reply 0
Listing 13. Proste skanowanie portw
>>> packets = IP(dst='192.168.0.1')/TCP( ags='S',dport=[22,23,80,515])
>>> a,ua=sr(packets)Begin emission:
**..Finished to send 4 packets.
*.*
Received 7 packets, got 4 answers, remaining 0 packets
>>> a.show()
0000 IP / TCP 192.168.0.124:ftp_data > 192.168.0.1:ssh S
==> IP / TCP 192.168.0.1:ssh > 192.168.0.124:ftp_data RA / Padding
0001 IP / TCP 192.168.0.124:ftp_data > 192.168.0.1:telnet S
==> IP / TCP 192.168.0.1:telnet > 192.168.0.124:ftp_data RA / Padding
0002 IP / TCP 192.168.0.124:ftp_data > 192.168.0.1:www S
==> IP / TCP 192.168.0.1:www > 192.168.0.124:ftp_data SA / Padding0003 IP / TCP 192.168.0.124:ftp_data > 192.168.0.1:printer S
==> IP / TCP 192.168.0.1:printer > 192.168.0.124:ftp_data SA / Padding
>>> for req,resp in a:
... print "port = "+str(req.dport)
... resp.sprintf('%TCP. ags%')
...
port = 22
'RA'
port = 23
'RA'
port = 80
'SA'
port = 515
'SA'
Listing 14. Podsuchiwanie ruchu oraz modykacja komunikacji sieciowej
>>> res = sniff()
^C>>> res.show()
0000 Ether / IP / TCP 192.168.0.124:ssh > 192.168.0.107:3242 PA / Raw
0001 Ether / IP / TCP 192.168.0.107:3242 > 192.168.0.124:ssh A
0002 Ether / ARP who has 192.168.0.1 says 192.168.0.124
0003 Ether / ARP is at 00:19:5b:dc:b7:ec says 192.168.0.1 / Padding
0004 Ether / IP / UDP / DNS Qry "www.onet.pl."
0005 Ether / IP / UDP / DNS Ans "213.180.146.27"
0006 Ether / IP / ICMP 192.168.0.124 > 213.180.146.27 echo-request 0 / Raw
-
8/8/2019 hakin9 07.2010 PL
21/50
Scapy
www.hakin9.org 21
0007 Ether / IP / ICMP 213.180.146.27 > 192.168.0.124 echo-reply 0 / Raw
0008 Ether / IP / UDP / DNS Qry "27.146.180.213.in-addr.arpa."
0009 Ether / IP / UDP / DNS Ans "s4.m1r2.onet.pl."
0010 Ether / IP / ICMP 192.168.0.124 > 213.180.146.27 echo-request 0 / Raw
0011 Ether / IP / ICMP 213.180.146.27 > 192.168.0.124 echo-reply 0 / Raw
0012 Ether / IP / UDP / DNS Qry "27.146.180.213.in-addr.arpa."
0013 Ether / IP / UDP / DNS Ans "s4.m1r2.onet.pl."
0014 Ether / IP / ICMP 192.168.0.124 > 213.180.146.27 echo-request 0 / Raw
0015 Ether / IP / ICMP 213.180.146.27 > 192.168.0.124 echo-reply 0 / Raw
0016 Ether / IP / UDP / DNS Qry "27.146.180.213.in-addr.arpa."
0017 Ether / IP / UDP / DNS Ans "s4.m1r2.onet.pl."
>>> i = res[6]
>>> i.show()
###[ Ethernet ]###
dst= 00:19:5b:dc:b7:ec
src= 00:0c:29:7f:48:3f
type= 0x800###[ IP ]###
version= 4L
ihl= 5L
tos= 0x0
len= 84
id= 0
ags= DF
frag= 0L
ttl= 64
proto= icmp
chksum= 0x11b5src= 192.168.0.124
dst= 213.180.146.27
\options\
###[ ICMP ]###
type= echo-request
code= 0
chksum= 0x1dbc
id= 0xa30d
seq= 0x1
###[ Raw ]###
load= '\xf3R\xd8K~\x93\x02\x00\x08\t\n\x0b\x0c\r\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\
x1b\x1c\x1d\x1e\x1f !"#$%&\'()*+,-./01234567'
>>> i[IP].dst='87.98.189.148'
>>> i[IP].chksum=None
>>> r = srp1(i)
Begin emission:
Finished to send 1 packets.
.*
Received 2 packets, got 1 answers, remaining 0 packets
>>> r.show()
###[ Ethernet ]###
dst= 00:0c:29:7f:48:3f
src= 00:19:5b:dc:b7:ec
type= 0x800
###[ IP ]###
version= 4L
-
8/8/2019 hakin9 07.2010 PL
22/507/201022
OBRONA
ihl= 5L
tos= 0x0
len= 84
id= 40889
ags=
frag= 0L
ttl= 0
proto= icmp
chksum= 0x44d5
src= 87.98.189.148
dst= 192.168.0.124
\options\
###[ ICMP ]###
type= echo-reply
code= 0
chksum= 0x25bcid= 0xa30d
seq= 0x1
###[ Raw ]###
load= '\xf3R\xd8K~\x93\x02\x00\x08\t\n\x0b\x0c\r\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\
x1b\x1c\x1d\x1e\x1f !"#$%&\'()*+,-./01234567'
Listing 15. Odczytanie ruchu z pliki w formacie libpcap
securitum-t1:~# tcpdump -n -s 0 -i eth0 -U -w out.pcap
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C20 packets captured
21 packets received by lter
securitum-t1:~# scapy
Welcome to Scapy (2.1.0)
>>> packets = rdpcap('out.pcap')
>>> packets.show()
0000 Ether / IP / TCP 192.168.0.124:ssh > 192.168.0.107:3242 PA / Raw
0001 Ether / IP / TCP 192.168.0.124:ssh > 192.168.0.107:3242 PA / Raw
0002 Ether / IP / TCP 192.168.0.107:3242 > 192.168.0.124:ssh A / Padding
0003 Ether / IP / UDP / DNS Qry "www.onet.pl."
0004 Ether / IP / UDP / DNS Ans "213.180.146.27"
0005 Ether / IP / ICMP 192.168.0.124 > 213.180.146.27 echo-request 0 / Raw
0006 Ether / IP / ICMP 213.180.146.27 > 192.168.0.124 echo-reply 0 / Raw
0007 Ether / IP / UDP / DNS Qry "27.146.180.213.in-addr.arpa."
0008 Ether / IP / UDP / DNS Ans "s4.m1r2.onet.pl."
0009 Ether / ARP who has 192.168.0.124 says 192.168.0.107 / Padding
0010 Ether / ARP is at 00:0c:29:7f:48:3f says 192.168.0.124
0011 Ether / IP / ICMP 192.168.0.124 > 213.180.146.27 echo-request 0 / Raw
0012 Ether / IP / ICMP 213.180.146.27 > 192.168.0.124 echo-reply 0 / Raw
0013 Ether / IP / UDP / DNS Qry "27.146.180.213.in-addr.arpa."
0014 Ether / IP / UDP / DNS Ans "s4.m1r2.onet.pl."
0015 Ether / IP / ICMP 192.168.0.124 > 213.180.146.27 echo-request 0 / Raw
0016 Ether / IP / ICMP 213.180.146.27 > 192.168.0.124 echo-reply 0 / Raw
0017 Ether / IP / UDP / DNS Qry "27.146.180.213.in-addr.arpa."
0018 Ether / IP / UDP / DNS Ans "s4.m1r2.onet.pl."
0019 Ether / IP / TCP 192.168.0.107:3242 > 192.168.0.124:ssh PA / Raw
-
8/8/2019 hakin9 07.2010 PL
23/50
Scapy
www.hakin9.org 23
Listing 16. Wykorzystanie funkcji wrpcap()
>>> pkt = Ether()/IP(dst='192.168.0.1')/ICMP()/("X"*100)
>>> wrpcap('to_fragment.pcap', pkt)
securitum-t2:~# tcprewrite --in le=to_fragment.pcap
--out le=fragmented.pcap --fragroute=/usr/local/etc/fragroute.conf
192.168.0.104 > 192.168.0.1: icmp: type 8 code 0 (frag 1:24@0+)
192.168.0.104 > 192.168.0.1: (frag 1:24@24+)
192.168.0.104 > 192.168.0.1: (frag 1:24@48+) [delay 0.001 ms]
192.168.0.104 > 192.168.0.1: (frag 1:12@96) [delay 0.001 ms]
192.168.0.104 > 192.168.0.1: (frag 1:24@72+) [delay 0.001 ms]
192.168.0.104 > 192.168.0.1: (frag 1:24@72+)
192.168.0.104 > 192.168.0.1: icmp: type 65 code 71 (frag 1:24@0+) [delay 0.001 ms]
192.168.0.104 > 192.168.0.1: (frag 1:12@96)
192.168.0.104 > 192.168.0.1: (frag 1:24@24+) [delay 0.001 ms]
192.168.0.104 > 192.168.0.1: (frag 1:24@48+)securitum-t2:~# scapy
>>> f = rdpcap('fragmented.pcap')
>>> f.show()
0000 Ether / IP / ICMP 192.168.0.104 > 192.168.0.1 echo-request 0 / Raw
0001 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:3 / Raw
0002 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:6 / Raw
0003 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:12 / Raw
0004 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:9 / Raw
0005 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:9 / Raw
0006 Ether / IP / ICMP 192.168.0.104 > 192.168.0.1 65 71 / Raw
0007 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:12 / Raw0008 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:3 / Raw
0009 Ether / 192.168.0.104 > 192.168.0.1 icmp frag:6 / Raw
Listing 17. Podstawowa metoda fuzzingu protokou sieciowego
>>> p = IP(dst='192.168.0.1')/ICMP()
>>> p = fuzz(p)
>>> p.show()
###[ IP ]###
version=
ihl= None
tos= 31
len= None
id=
ags=
frag= 0
ttl=
proto= icmp
chksum= None
src= 192.168.0.124
dst= 192.168.0.1
\options\
###[ ICMP ]###
type=
code= 207
chksum= None
unused=
-
8/8/2019 hakin9 07.2010 PL
24/507/201024
OBRONA
>>> send(p,loop=1)
................................................................................................................
Listing 18. Fuzzing protokou sieciowego widziany w tcpdump()
securitum-t1:~# tcpdump -v -n -i eth0 icmp
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
18:37:00.152656 IP7 (tos 0x8b,CE, ttl 63, id 19269, offset 0, ags [+, rsvd], proto ICMP (1), length 28)
192.168.0.124 > 192.168.0.1: ICMP type-#170, length 8
IP5 [|ip]
18:37:00.156424 IP14 (tos 0x99,ECT(1), ttl 128, id 46969, offset 0, ags [+, DF, rsvd], proto ICMP (1), length
28) 192.168.0.124 > 192.168.0.1: ICMP type-#180, length 8
IP5 [|ip]
18:37:00.159799 IP9 (tos 0x7a,ECT(0), ttl 114, id 53503, offset 0, ags [DF], proto ICMP (1), length 28)
192.168.0.124 > 192.168.0.1: ICMP type-#105, length 8
IP5 [|ip]
18:37:00.163474 IP14 (tos 0x18, ttl 163, id 24203, offset 0, ags [+, rsvd], proto ICMP (1), length 28)192.168.0.124 > 192.168.0.1: ICMP type-#61, length 8
IP5 [|ip]
18:37:00.167175 IP5 (tos 0x1,ECT(1), ttl 13, id 59219, offset 0, ags [none], proto ICMP (1), length 28)
192.168.0.124 > 192.168.0.1: ICMP type-#180, length 8
IP5 [|ip]
...
Listing 19. Ustawienie pola w pakiecie funkcj zwracajcwarto losow
>>> i = IP()/ICMP()
>>> i[IP].version = RandShort()
>>> i.show()
###[ IP ]###
version=
ihl= None
tos= 0x0
len= None
id= 1
ags=
frag= 0
ttl= 64
proto= icmp
chksum= None
src= 127.0.0.1
dst= 127.0.0.1
\options\
###[ ICMP ]###
type= echo-request
code= 0
chksum= None
id= 0x0
seq= 0x0
Listing 20. Prosty skaner portw napisany w pythonie, z wykorzystaniem scapy. scapy-scanner.py (uruchomienie:
python scapy-scanner.py)
from scapy.all import *
# zakres portow do skanowania
ports = (1,1024)
# cel skanowania
dst_ip = '192.168.0.1'
# de nicja pakietow
syn_packets = IP(dst=dst_ip)/TCP( ags='S',dport=po
rts)
# wyslanie pakietow oraz odebranie odpowiedzi
answered, uanaswered = sr(syn_packets, verbose=0)
# analiza odpowiedzi
for request, response in answered:
response_ ags = response.sprintf('%TCP. ag
s%')
if response_ ags == 'SA':
print "Port TCP: " +
str(request.dport) + " otwarty"
-
8/8/2019 hakin9 07.2010 PL
25/50
Archiwizacja danych
www.hakin9.org 25
Archiwizacja ( backupy ) danych dla wikszo-
ci uytkownikw komputerw osobistych jestczsto zagadnieniem pozostajcym na margi-nesie. Najczciej przypominamy sobie o znaczeniuzabezpieczenia danych, gdy je utracimy. Celem tegoartykuu jest prba przeamania barier oraz zachce-nie do wykonywania archiwizacji najwaniejszych da-nych. Moe nadszed ju czas, aby zakupi dysk ze-wntrzny i przeznaczy go do tego celu.
StatystykiSerwis dotyczcy archiwizacji http://www.kabooza.com podaje wyniki ankiety wrd uytkownikw kompute-rw osobistych w zakresie archiwizacji.
Na pytanie jak czsto archiwizuj oni dane na kom-puterach wikszo (54%) odpowiada, e nigdy. Spo-rd archiwizujcych dane 18% robi to codziennie. A13% osb nie wie co to jest backup.
Uytkownicy za najwiksze zagroenie dla kompute-ra wskazuj wirusy komputerowe (54%). Kolejne oba-wy dotycz moliwoci uszkodzenia dysku twardego(31%), kradziey (5%) oraz uszkodzenia danych spo-wodowanych upadkiem nonika danych (11%).
Najbardziej uytkownicy obawiaj si utraty wa-snych zdj (71%), wasnych dokumentw (16%) orazwasnej muzyki (4%).
Wikszo (66%) osb utracio wane zdjcia lubdokumenty, z czego dua cz (42%) utracia jew cigu ostatniego roku.
Rodzaje backupwMamy do wyboru rne rodzaje backupw i trybw ichuruchamiania. Wybr zaley midzy innymi od ilociwolnego miejsca na dysku, czasu jaki moemy prze-znaczy na archiwizowanie oraz wymaganej szybko-ci do odzyskania danych. W Tabeli 1. wymienione zo-stay rodzaje backupw, a w Tabeli 2. przedstawiones rnice pomidzy nimi.
KompromisPrzy podejmowaniu decyzji o organizacji procesu ar-chiwizacji warto wzi pod uwag kilka czynnikw. Na-ley wic:
oceni, ktre dane s krytyczne i wymagaj ar-chiwizacji (archiwizowanie wszystkiego moe byzbyt kosztowne),
okreli ich rozmiar, okreli czstotliwo zmian w tych danych, sprawdzi posiadane rodzaje nonikw do archi-
wizacji (serwer sieciowy, dysk, CD-ROM. DVD-ROM, pami tamowa),
oszacowa rozmiar wolnej przestrzeni na noni-kach przeznaczonych do organizacji backupw,
okreli akceptowany czas na tworzenie archi-wum,
okreli akceptowalny czas oczekiwania na odtwo-rzenie pliku z archiwum,
zachowa zdrowy rozsdek.
Archiwizacja danych
Niewielu uytkownikw komputerw przywizujenaleyt wag do archiwizacji plikw. Czsto gin imbezpowrotnie bezcenne dokumenty lub zdjcia,a niewiele trzeba, by temu zapobiec.
Aleksander Tadeusz wikliski
Dowiesz si: o znaczeniu archiwizacji danych, o rodzajach archiwizacji, jak zorganizowa proces archiwizacji, ktre narzdzia pomog w zabezpieczeniu danych, jak uy dostpnych narzdzi do zabezpieczenia danych.
Powiniene wiedzie: znajomo obsugi komputera na poziomie uytkownika.
-
8/8/2019 hakin9 07.2010 PL
26/507/201026
OCHRONA DANYCH
kw z archiwum. Opnione dziaanie moe spowodo-wa utrat korelacji danych pomidzy systemami. Je-eli systemy zapisuj dane na tym samym wolumenieto korzystne moe okaza si oparcie backupw o ca-y wolumen ni o pojedyncze pliki.
Zoonym moe okaza si wykonywanie backupwbaz danych, dla ktrych naley zachowa cigodziaania, bo nie mona ich zamkn, w celach archi-wizacji. Pomocne s tutaj serwery baz danych dostar-czajce mechanizmy ledzenia transakcji wykonanychod momentu wykonania ostatniego backupu.
NarzdziaDostpnych jest wiele narzdzi do wykonywania bac-kupw komercyjnych i darmowych.
W Tabeli 3. podano wykaz niektrych darmowych
rozwiza dostpnych dla gwnych trzech systemw
Nie zawsze takie atweW domowych zastosowaniach zdefiniowanie codzien-nych backupw wydaje si wystarczajce. W przy-padku jednak, gdy mwimy o dziaalnoci gospodar-czej i klientach utrata danych moe nas sporo kosz-towa.
Czsto wystpuje potrzeba budowania rozwizaumoliwiajcych odtworzenie danych z dowolnej chwi-li (godzina, minuta, sekunda). Aby to byo moliwe ko-nieczne jest posiadanie rozwizania zapewniajcegoarchiwizowanie danych w sposb cigy. Wymaganiezapewnienia cigoci operacji moe nakada na nastake konieczno niezwocznego odzyskania danychz archiww.
W przypadku wspdziaania wielu systemw infor-matycznych krytyczne staje si jak najszybsze wykry-
cie sytuacji, gdy bdzie konieczne odtworzenie pli-
Tabela 1. Rodzaje archiww
Nazwa OpisPeny (full) Polega na archiwizacji wszystkich plikw niezalenie od wczeniej robionych archiwizacji. Po utwo-
rzeniu takiego archiwum istnieje pniej moliwo odtworzenia wszystkich plikw bezporednio ztego archiwum.
Rnicowy (di erential) Jest uzupenieniem penej archiwizacji. Zapisuje zmiany w plikach, ktre powstay od momentu wy-konania ostatniej penej archiwizacji. Do odtworzenia pliku wystarczy pene archiwum i jedno z ar-chiww rnicowych w zalenoci od daty, z ktrej chcemy odzyska dane.
Przyrostowy (incremental) Jest uzupenieniem penej archiwizacji. Zapisuje zmiany w plikach, ktre powstay od momentu wy-konania ostatniej przyrostowej archiwizacji. Do odtworzenia pliku potrzebne jest odwoanie do pe-nego archiwum oraz tylu archiww przyrostowych ile zostao utworzonych od daty, z ktrej chcemyodzyska dane.
Tabela 2. Rnice midzy rodzajami archiww
Nazwa Czas potrzebnyna archiwizacj
Czas potrzebnyna odtworzenie archiwum
Rozmiar na dysku
Peny * *** *
Rnicowy ** ** **
Przyrostowy *** * ***
* - najmniej korzystny*** - najbardziej korzystny
Tabela 3. Darmowe narzdzia do archiwizacji danych
Nazwa Link OpisAmanda http://www.amanda.org/ Zaawansowany sieciowy archiwizator pozwalajcy na zdaln administracj.
Uywa natywnych narzdzi jak GNUtar czy dump do tworzenia backupw.
Areca backup http://www.areca-backup.org/ Suy do wykonywania archiww danych na potrzeby osobiste. Utworzonezbiory mona czyta popularnymi programami do kompresji.
backupPC http://backuppc.sourceforge.net/ Moe suy do archiwizacji danych przedsibiorstwa.Bacula http://www.bacula.org Umoliwia zarzdzanie procesem archiwizacji na poziomie przedsibior-
stwa dla rnych rodzajw komputerw poczonych w sie.DirSyncPro http://directorysync.sourceforge.net/ Proste narzdzie do synchronizacji folderw. Mona uruchamia polecenia
take z pominiciem interfejsu gra cznego.
DAR http://dar.linux.free.fr/ Uruchamiany jest z linii komend. Od wersji 2 moliwe jest podczenie inter-fejsu gra cznego poprzez API.
-
8/8/2019 hakin9 07.2010 PL
27/50
Archiwizacja danych
www.hakin9.org 27
operacyjnych komputerw osobistych: Windows, Li-nux oraz Macintosh.
Backup and RestoreUmoliwia archiwizacj danych w Windows 7 (dostp-ne opcje zale od wersji). Przykadowy proces defi-niowania i uruchamiania archiwizacji wyglda nast-pujco.
Krok 1. Przej do panelu sterowania Control Panel.Krok 2. W zalenoci od ustawionego trybu wywietla-nia w panelu sterowania wybiera Back up your compu-ter w grupie System and Security lub Backup and Re-store.Krok 3. Otworzy si okno umoliwiajce rozpoczciedefiniowania procesu archiwizacji.
Krok 4. W kolejnych krokach okreli parametry archi-wizacji.
Krok 5. Po zapisaniu ustawie rozpocz archiwizacj.Krok 6. Mona take ledzi zaawansowanie procesu.
Po utworzeniu archiwum moliwe bdzie w przyszo-ci odzyskanie caego zbioru plikw lub wybranychplikw po naciniciu przycisku Restore my fles naekranie Backup or restore your fles . W przypadkukon iktu zostaniemy zapytani o decyzj i do wyborupozostanie zapisanie obecnego pliku wersj z archi-wum, rezygnacja z wykonania operacji lub utworzeniedrugiej wersji pliku.
rsyncW przypadku, gdy serwer zasobw dyskowych zbudo-wany jest na systemie Linux, na przykad na serwerzeSamby, do zabezpieczania danych bardzo przydat-
nym moe si okaza polecenie rsync. Pomoe onaprzykad w utworzeniu penego odzwierciedlenia da-
Rysunek 1. Ekran denicji archiwizacji
Rysunek 2. Parametry archiwizacji Rysunek 3. Parametry archiwizacji
-
8/8/2019 hakin9 07.2010 PL
28/507/201028
OCHRONA DANYCH
nych wraz z informacjami o uprawnieniach uytkowni-kw i atrybutach plikw. Wystarczy sprawdzi skadnitego polecenia w manualu systemowym i mona przy-stpi do synchronizowania zbiorw danych. Polece-nie to umoliwia take synchronizacj pomidzy ser-werami sieciowymi.
Poniej opisano przykadow sekwencj operacji.Krok 1. Podczy dysk zewntrzny.Krok 2. Zamontowa dysk zewntrzny:mount t reiserfs /dev/sda1 /mnt/f
Krok 3.Rozpocz synchronizacj katalogw (tutaj ar-chiwizacja dotyczy katalogu /home ):rsync a v delete /home/ /mnt/f
xcopyPolecenie xcopy znane z systemu Windows posiada
bardzo wiele opcji i umoliwia wykonywanie rnychrodzajw backupw.
Archiwizacja pena:xcopy c:\home\*.* d:\backup\*.* /s
Archiwizacja przyrostowa:xcopy c:\home\*.* d:\backup\*.* /s /m
Archiwizacja rnicowaxcopy c:\home\*.* d:\backup\*.* /s /a
PodsumowanieDo wsparcia archiwizacji danych suy wiele narz-dzi. Zalecabym spord nich wybra odpowiedniedla siebie i zacz je stosowa. Warto na to powi-ci czas. Unikniemy powanych kopotw i staniemysi faktycznymi wacicielami naszych danych. B-dziemy rwnie mogli suy rad mniej dowiadczo-
nym.
Rysunek 4. Parametry archiwizacji
Rysunek 5. Parametry archiwizacji
Rysunek 6. Parametry archiwizacji
Rysunek 7. Rozpoczcie archiwizacji.
-
8/8/2019 hakin9 07.2010 PL
29/50
Archiwizacja danych
www.hakin9.org 29
ALEKSANDER TADEUSZ WIKLISKIhttp://www.linkedin.com/in/alexcwiklinski . Ukoczy studia informatyczne na Wydziale Elektroniki Politechniki Warszaw- skiej. Ponadto zdoby dyplom Canadian MBA w Szkole Gwnej Handlowej w kooperacji z Universit du Qubec Montral.Uzyska midzy innymi certykat PMP z zakresu zarzdzania projektami oraz certykat ITIL Foundation z zakresu zarzdza-nia usugami.Posiada dowiadczenie w rozwijaniu systemw informatycznych oraz kontroli jakoci w obszarach obsugi klienta, rozlicze bi-lingowych, bankowoci, podatkw oraz nansw. Zajmowa si rwnie zarzdzaniem projektami i wydaniami w ramach ze- spow midzynarodowych.Od kilkunastu lat pracuje w rmie telekomunikacyjnej na stanowisku menederskim. Do jego gwnych obowizkw naley
kontrola jakoci systemw informatycznych oraz wsparcie procesu wdroe. Wczeniej zaangaowany by bezporednio w roz-wj tych systemw.Interesuje si wsparciem informatycznym podejmowania decyzji w zarzdzaniu rm. Ponadto ledzi zagadnienia zwizane z marketingiem, a ostatnio w szczeglnoci marketingiem przychodzcym (inbound marketing) oraz zastosowaniami portali spoecznociowych.W pracy zawodowej, realizujc zadania, stara si znajdowa balans pomidzy oczekiwaniami rmy, a wymaganiami ze- spow oraz indywidualnymi potrzebami pracownikw. Zwraca przy tym uwag na znaczenie komunikacji dla sukcesu tych przedsiwzi.Poszukuje rozwiza, ktre zwiksz ilo wolnego czasu. Odzyskany czas chciaby powici na znajdowanie nowych pomy- sw, ich dopracowywanie oraz wypoczynek.W drodze do pracy sucha ksiek audio lub podcastw z zakresu zarzdzania, marketingu, psychologii lub ekonomii.Wolny czas spdza z rodzin, majsterkuje lub pracuje w ogrodzie.Kibicuje zespoowi Renault w Formule 1, w szczeglnoci naszemu kierowcy Robertowi Kubicy.Kontakt z autorem: [email protected]
Rysunek 8. ledzenie procesu
Reklama
http://www.tts.com.pl/http://www.tts.com.pl/http://www.tts.com.pl/ -
8/8/2019 hakin9 07.2010 PL
30/507/201030
PRAKTYKA
Wedug danych gromadzonych globalnie przezwiatowych pionierw w dziedzinie informaty-ki ledczej, 43 procent firm na wiecie padoofiar naduy zwizanych z uyciem informacji elek-tronicznej. Ponad poowa z nich poniosa przy tym nie-odwracalne straty finansowe. rednia wysoko nad-uy w zakresie przestpczoci elektronicznej na wie-cie to a 1,74 mln $ na firm, przy czym co trzecie z te-go typu przestpstw popeni pracownik firmy, ktraucierpiaa na nielegalnych praktykach. Co sprawia, etak atwo firmy i osoby prywatne trac kluczowe dane?
Wedug informatykw ledczych kluczow rol od-grywa tutaj kwestia niewiadomego pozostawianiaprzez nas informacji o samych sobie, dziki otaczaj-cym nas z kadej strony technologiom i urzdzeniomgromadzcym wszelkiego rodzaju informacje. Monapodzieli je na trzy grupy. Do pierwszej z nich zaliczymona wszelkie rejestry komputerw i innych maszyn,ktre magazynuj dane dotyczce czasu pracy, otwie-ranych programw, odwiedzanych stron internetowychczy te wysanych wiadomoci mailowych. Do drugiejgrupy zaliczy moemy informacje z rnego rodza-
ju monitoringw, aparatw cyfrowych czy te kamer.Ostatni, trzeci grup s informacje, ktre uytkow-nicy pozostawiaj samodzielnie i wiadomie, np. na
portalach spoecznociowych, forach, blogach czy tew komentarzach sieciowych.
Informatycy ledczy w Polsce i na wiecieW cigu ostatnich kilkunastu lat dyski twarde (i innenoniki, takie jak pendrivey czy telefony komrkowe),stay si pierwszoplanowymi bohaterami spraw, ktreprzez tygodnie nie schodziy z pierwszych stron ga-zet. Dotyczyy one zarwno najwaniejszych politykww Pastwie, jak i osb zwizanych ze rodowiskamibiznesowymi. Wrd pierwszych, jedn z najbardziejspektakularnych okazaa si sprawa dysku AleksandryJakubowskiej, ktra wysza na wiato dzienne w kon-tekcie afery Rywina. Jednym z kluczowych dla ledz-twa dziaa byo wtedy odzyskanie wiadomoci pocz-towej ze sformatowanego dysku Minister Jakubow-skiej, na ktrym znajdoway si dowody pozwalajceprokuraturze na ustalenie przebiegu wydarze w jed-nym z wtkw afery korupcyjnej. Pozostae przypadki,
jakie utkwiy w pamici opinii publicznej dotyczyy m.in.utopionego komputera posa Wassermanna czy syn-nego gwodzia posa Ziobry. Na wiecie byy to naj-wiksze akcje przeprowadzane m.in. dla FBI i innychsub panstwowych. Szczegowe ich opisy znajduj si m.in. poniej, wrd najciekawszych casew.
Elektroniczni detektywi w akcji
Wiedza i umiejtnoci informatykw ledczych, take z Polski,pomogy ju rozwiza tysice spraw sdowych na caym wiecie,w tym tych najpowaniejszych, zwizanych midzy innymi z gonymiprzestpstwami gospodarczymi, pedofili bd kradzie poufnychdanych. Wci jednak dziaania prowadzone w ramach informatykiledczej s niemale obce nie tylko firmom traccym przychody przez
oszustw komputerowych, ale nawet samej brany IT.
Piotr Dembiski, Pawe Odor
Dowiesz si: jak wyglda proces informatyki ledczej prowadzony w profe-
sjonalnym laboratorium jakie najciekawsze przypadki informatyki ledczej zdarzyy si
dotd w Polsce i na wiecie jakie straty mog ponie rmy nie korzystajce z usug infor-
matykw ledczych
Powiniene wiedzie: e dziaania informatykw ledczych pozwalaj uchroni rmy
przed bardzo powanymi konsekwencjami nansowymi i wi-zerunkowymi, sigajcymi nawet kilku milionw dolarw
e informatycy ledczy s w stanie perfekcyjnie odtworzy kolej-no zdarze, dziaajc na podstawie informacji niedostpnychdla uytkownikw i administratorw poszczeglnych systemw
e wikszo polskich i wiatowych rm wci lekceway za-
bezpieczanie swych zasobw cyfrowych.###
-
8/8/2019 hakin9 07.2010 PL
31/50
Informatyka ledcza
www.hakin9.org 31
kopii bezpieczestwa. W zalenoci od typu postpo-wania zabezpiecza si take dane z urzdze prze-nonych PDA, telefonw i wszelkich pamici przeno-nych. Po przygotowaniu dwch kopii zapasowychotrzymanego nonika specjalici zabezpieczaj jed-n z nich w sposb identyczny do tego w jaki zabez-pieczony zosta oryginalny nonik. Wszelkie prace s prowadzone na drugiej kopii. Kada operacja podjtaprzez specjalistw musi by szczegowo udokumen-towana, a kade udostpnienie nonika lub informacjimusi by zarejestrowane.
Suma kontrolnaNa potrzeby postpowania dowodowego wykonuje sikopie binarne zabezpieczone wyliczeniem sumy kon-trolnej. W procesie informatyki ledczej kady z noni-kw musi zosta zabezpieczony w sposb odpowiednido jego indywidualnych waciwoci, np. w przypadkudyskw twardych odbywa si to za pomoc wygenero-wanej podczas kopiowania sumy kontrolnej. Mona na
jej podstawie okreli czy opisywana przez ni struk-tura bya modyfikowana. Jeeli zgadza si z pierwotn wartoci, oznacza to, e mamy do czynienia z orygi-naln wersj cyfrowego zapisu. W czasie tego proce-su stosuje si specjalne urzdzenia uniemoliwiajce
jakikolwiek zapis na oryginalny nonik.Niezalenie jednak od sposobu zbierania informacji,
zasady zabezpieczania dowodw wymagaj ochro-ny oryginalnego nonika oraz wykonania penej kopiidanych bez adnej ingerencji w orygina. Dodatkowokonieczne jest zastosowanie metod gwarantujcychidentyczno i autentyczno danych (np. przez wyko-nanie wspomnianej wczeniej sumy kontrolnej). Jaki-kolwiek bd na tym etapie pracy moe skutkowa nietylko utrat krytycznych danych, ale rwnie odrzuce-niem rodkw dowodowych przez sd.
W szczeglnych przypadkach, kiedy dane zosta- j zabezpieczane w wielu lokalizacjach specjali-ci informatyki ledczej zwracaj szczegln uwagna synchronizacj czasow. W ten sposb udaje siunikn manipulowania danymi mogcymi posuy
jako dowd w prowadzonym dochodzeniu.
Odtwarzanie i odzyskiwanie danychDane pobrane z nonikw zawieraj najczciejogromn ilo informacji, z ktrych cz z punktu wi-dzenia prowadzonego dochodzenia jest nieprzydat-na. Wyowienie interesujcych danych jest w zwizkuz tym niestety wyjtkowo zoone i pracochonne.
Spord wszystkich danych znajdujcych na noni-ku specjalici wyodrbniaj wiec te, ktre maj zna-czenie dla prowadzonej sprawy. Konsultacja z klien-tem (zdefiniowana hipoteza badawcza), ktr kie-ruj si eksperci podczas bada ma kluczowe zna-czenie dla sukcesu sprawy i wycignicia odpowied-
Czym jest informatyka ledcza?Informatyka ledcza (ang.Computer Forensics ), to do-starczanie elektronicznych rodkw dowodowych czy-li zesp dziaa i czynnoci, ktre polegaj na zabez-pieczeniu, przeszukiwaniu i wykrywaniu dowodw nad-uy i przestpstw dokonanych z uyciem komputeralub innych urzdze elektronicznych. Poprzez Compu-ter Forensics moemy wic odtworzy kolejno zda-rze uytkownika urzdzenia elektronicznego w cza-sie (i odpowiedzie na pytania: kto? co? gdzie? kiedy?
jak?), dziaajc na podstawie informacji niedostpnychdla uytkownikw i administratorw systemu.
Obecnie najpopularniejszymi nonikami dowodwelektronicznych trafiajcymi do najwikszych labora-toriw odzyskiwania danych i informatyki ledczej s:dyski twarde komputerw osobistych (61,5 procent),serwery (20 procent - w tym serwery pocztowe 7 pro-cent oraz pozostae serwery - np. zapisujce danez kamer monitorujcych ulice 13 procent), notatnikielektroniczne (3 procent), pamici przenone (11 pro-cent) oraz telefony (2,5 procent). Wikszo serwerwtrafia do ekspertyzy wraz z kopiami bezpieczestwa.
Proces informatyki ledczejProces informatyki ledczej to zbir nastpujcych posobie czynnoci, ktrych wykonanie gwarantuje do-starczenie organom cigania, a take osobom prowa-
dzcym dochodzenie danych o penej wartoci dowo-dowej. Na proces skadaj si: gromadzenie informa-cji, odtwarzanie i odzyskiwanie danych oraz ich anali-za. Wynikiem dziaania jest raport ekspertw. Rozpo-czcie procesu computer forensics poprzedzone jestdokadnym zapoznaniem si specjalistw ze spraw.Klient musi przekaza ekspertom moliwie duo in-formacji o prowadzonym postpowaniu tak aby mo-liwe byo podjcie decyzji jakie noniki mog zawieraistotne informacje.
Gromadzenie informacjiPodstawow zasad na etapie gromadzenia informa-cji jest zabezpieczenie oryginalnych nonikw jak ty-powych dowodw. Nastpnie wykonuje si co naj-mniej dwie binarne kopie danych. Kopie powstaj bez uruchomienia systemu operacyjnego urzdze-nia, na ktrym mog znajdowa si potencjalne do-wody. W niektrych sytuacjach jest to jednak niemo-liwe, procedura zabezpieczenia musi by zatem do-kadnie udokumentowana. Wynika to z faktu, i w mo-mencie uruchomienia systemu operacyjnego orygi-nalnego urzdzenia zmienia si dotychczasowa za-warto danych znajdujcych si na noniku (dysku,pamici itp.).
Zabezpieczanie danych, jako dowodw dotyczy za-rwno komputerw osobistych, przenonych jak i ser-werw plikw (poczty), baz danych oraz wszystkich
-
8/8/2019 hakin9 07.2010 PL
32/507/201032
PRAKTYKA
nich wnioskw. Sytuacj moe jednak skomplikowafakt, e nonik zawiera du ilo danych niewidocz-nych dla uytkownika, a dostpnych dopiero w proce-sie odtwarzania danych (np. skasowanych, ukrytychlub zaszyfrowanych). Dzieje si tak czsto w momen-cie, gdy oprcz celowo skasowanych danych nastpi-o uszkodzenie logiczne bd fizyczne nonika. W ta-kiej sytuacji nim informatycy ledczy przejd do ana-lizy danych znajdujcych si na noniku, musz naj-pierw odzyska utracone wczeniej informacje. Spe-cjalici w procesie odtwarzania danych docieraj rw-nie do tzw. przestrzeni typu slack space (dotyczy tonajszerzej rozpowszechnionych systemw plikw ty-pu FAT i NTFS) sektorw i klastrw resztkowych,ktre mog by nieocenionym zbiorem informacji dlaprowadzcych ledztwa czy dochodzenia, szczegl-nie w przypadkach, w ktrych nastpio nadpisaniedanych dowodowych czyli zapisanie na nie nowychinformacji.
Oczywicie naley pamita, e wykorzystywanemechanizmy, ktre pozwalaj sprawdzi histori dzia-a uytkownika, zale od uywanego przez niegooprogramowania i systemu operacyjnego.
Szczeglnym przypadkiem odtwarzania danych mo-e by odzyskiwanie danych z fizycznie uszkodzone-go nonika. rednia wiatowa skuteczno odzyski-wania danych w profesjonalnym laboratorium wyno-
si 76 procent. Skadaj si na ni rwnie najciszeprzypadki, w ktrych noniki zostay celowo zniszczo-ne fizycznie, spalone czy zalane wod. W wikszocitego typu przypadkw dane udaje si odzyska niemalw 100 procentach.
AnalizaKolejnym krokiem po odtworzeniu danych w proce-sie Computer Forensics jest ich analiza. Zostaje onaprzeprowadzona wg kryteriw, ktre ustalane s przezelektronicznych detektyww w porozumieniu ze zlece-niodawc. Typowe poszukiwanie danych polega nadostosowaniu wszystkich zebranych danych do for-matu pozwalajcego uytkownikowi na atwy dostpdo informacji (odszyfrowanie, pominicie nietypowychaplikacji, ujednolicenie formatu). Praca specjalisty naetapie analizy danych polega na odpowiedzi na klu-czowe pytania (kto?, co? i kiedy?) oraz na odtworze-niu kolejnoci krytycznych zdarze.
Najczstsze rodzaje danych analizowanychw procesie informatyki ledczejDostarczajc dowodw przestpczoci elektronicz-nej specjalici informatyki ledczej najczciej operu-
j na: danych pocztowych (najczstsza kategoria da-nych, ktre stanowi materiay dowodowe w procesieinformatyki ledczej; w ich przypadku zabezpieczeniedowodw polega prcz zabezpieczenia plikw poczto-wych na konkretnym komputerze, rwnie zabezpie-czeniu dostpu do serwerw poczty elektronicznej),danych biecych (np. dokumenty pakietu Office), da-nych odtworzonych i odzyskanych (skasowanych lubuszkodzonych wczeniej przez uytkownika), danych
zaszyfrowanych przez waciciela i udostpnionych pozamaniu zabezpiecze oraz danych zawartych w lo-gach systemowych i metadanych.
Na tym etapie prac przydatne s narzdzia uatwia- jce konwersj danych. Aplikacje takie pozwalaj mi-
dzy innymi na bardzo wygod-ne wyszukiwanie informacji,zaznaczanie i komentowanieodnalezionych danych orazprzygotowywanie szczego-wych raportw z przeprowa-dzonych prac.
Elementy procesuanalizy danychProces analizy danych jeststosunkowo zoony i obej-muje najczciej pi sta-diw. Pierwsze z nich po-lega na odtwarzaniu istot-nych zdarze z uwzgldnie-niem ich chronologii (wizytyna stronach internetowych,komunikacja poczt elektro-niczn, zmiany dokumentw,kasowanie danych, szczeg-y penetracji systemu itp.).W drugim stadium poszu-Rysunek 1. Spalony aparat z ktrego odzyskano zdjcia w laboratorium Kroll Ontrack
-
8/8/2019 hakin9 07.2010 PL
33/50
Informatyka ledcza
www.hakin9.org 33
kiwane s dokumenty zawierajce sowa kluczowezwizane ze spraw, wskazywane najczciej przezorgana ledcze. Trzecie stadium natomiast obejmu-
je poszukiwanie kopii istotnych dokumentw oraz ichwczeniejszych wersji. Ostatnie dwie czci procesudotycz sprawdzanie istnienia na noniku i zaistnieniaoperacji z wykorzystaniem programw kasujcych da-ne oraz analiz autentycznoci danych oraz znaczni-kw czasowych.
RaportWynikiem pracy specjalistw Computer Forensics
jest szczegowy raport zawierajcy informacje o od-nalezionych danych istotnych dla prowadzonej spra-wy. Elementem raportu powinno by take osadzeniew czasie kluczowych zdarze.
Jako, e tre raportu musi by cile skorelowanaze spraw konieczna jest bliska wsppraca specjali-stw w laboratorium z osobami prowadzcymi spraw.Elementem wsppracy laboratorium informatyki led-czej i klienta jest take przedstawianie wynikw pracw sdzie. Informatycy ledczy przywoani przez proku-ratora i sdy dla wydania opinii prezentuj materia do-wodowy jako tzw. biegli ad-hoc . Pomimo faktu, e niewszystkie sprawy trafiaj na wokand, wszystkie czyn-noci w ramach procesu musz by prowadzone w ta-ki sposb, aby warto dowodowa zgromadzonego
materiau bya niepodwaalna. Na wiecie tylko okoo20 procent spraw prowadzonych przez specjalistw in-formatyki ledczej ma fina w sdzie. Czsto potrzeb-ne s jedynie np. dowody winy pracownika pozwalaj-ce pracodawcy na uszczelnienie systemu dostpu doinformacji. Jak wspomniano wczeniej jedn z najcz-ciej analizowanych kategorii danych w procesie in-formatyki ledczej s plikipoczty elektronicznej i wy-daje si, e ta kategoria da-nych nie ustpi z pierwsze-go miejsca w cigu najbli-szych lat.
Na kadym z powyszychetapw istnieje moliwowykorzystania danych z wia-domoci e-mail w procesiedowodowym zmierzajcymdo wykrycia przecieku in-formacji, czy to poprzez od-tworzenie treci podejrzanejwiadomoci, czasu jej wy-sania czy te innych cech.
Korporacyjne serwerypocztowe przechowuj wia-domoci wszystkich pra-cownikw, ktrzy korzysta-
j z poczty elektronicznej.
Zgodnie z wymogami Disaster Recovery Plans spo-rzdzane i przechowywane s kopie zapasowe zaso-bw gromadzonych na serwerach firmowych. Czstospecjalici informatyki ledczej staj przed konieczno-ci analizy wielu milionw informacji pocztowych nie-
jednokrotnie pochodzcych z rnych serwerw (ichkopii bezpieczestwa).
Najciekawsze przypadki informatyki ledczej rozwi-zane przez specjalistw informatyki ledczej w Polscei na wiecie:
1. Sprawa gdaskiej gimnazjalistkiDziaania zwizane z informatyk ledcz nie dotycz
jedynie danych zamieszczonych na dyskach twardychkomputerw, ale rwnie na takich urzdzeniach, jakpamici flash, bd telefony komrkowe.
W zwizku ze zwikszajc si liczb funkcji i pojem-noci telefonw komrkowych, dane z nich pochodz-ce mog sta si cennym rdem dowodowym, wyko-rzystywanym w informatyce ledczej. Jednym z takichprzypadkw bya udana prba odzyskania filmu zapi-sanego na telefonie komrkowym jednego z gdaskichuczniw w roku 2006.
Film ten by zapisem napastowania jednej z gimna-zjalistek przez grup jej kolegw, w tym chopca na-grywajcego to zdarzenie, podczas lekcji w szkole.Nagranie to zostao nastpnie opublikowane w Inter-
necie, co mogo doprowadzi do samobjczej mier-ci dziewczynki.Po tym zdarzeniu i rozgosie, jaki zosta mu nadany
w mediach, chopcy skasowali film. Telefon zosta jed-nak zabezpieczony przez policj, ktrej przedstawicie-le w toku postpowania przekazali aparat do analizyspecjalistom informatyki ledczej. W laboratorium in-
Rysunek 2. Specjalici Kroll Ontrack podczas odzyskiwania danych w laboratorium
-
8/8/2019 hakin9 07.2010 PL
34/507/201034
PRAKTYKA
formatyki ledczej odzyskano wykasowan zawartotelefonu, w tym nagranie z lekcji. Film zosta wykorzy-stany w sprawie.
2. Komputer prezesa portalu wp.plSprawa komputera prezesa Wirtualnej Polskiej jestprzykadem straty jak poniosa jedna ze stron z po-wodu braku wiadomoci istnienia usug informatykiledczej w Polsce.
Wikszociowy udziaowiec portalu wp.pl zawarporozumienie z posiadaczami udziaw stanowicy-mi mnie